Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 3189 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN - Modify client routes given by UTM

DeltaSM
Hello,

I'm currently testing a Sophos UTM solution and I would like to know if it is possible to modify the routes given by the UTM to the client?

Let me explain this precisely:

We use VPN SSL Pool: 10.242.2.0/24.

Our Internal Network is 192.168.0.0/248 (very bad, I know, we have to change it but it has been done in the past and now there are lots of things which stop us to do it right now).

The most part of remote SSL VPN clients use their local network at home which are often on this ranges: 192.168.0.0/24 and 192.168.1.0/24.

When disabling split tunneling on VPN SSL (by adding "Any" on Allowed Networks and not only our Internal Network) the following routes are added by the UTM on VPN SSL clients:

0.0.0.0        128.0.0.0       10.242.2.5       10.242.2.6      2
128.0.0.0        128.0.0.0       10.242.2.5       10.242.2.6      2

This is very good on paper but the problem is that, if our VPN SSL client local IP address is on network 192.168.0.0/24 or 192.168.1.0/24 (so like our Internal Network) it won't go to the right gateway because our VPN SSL client has, by default, a route like this:

192.168.0.0       255.255.255.0       192.168.0.1      192.168.0.10      20
or
192.168.1.0       255.255.255.0       192.168.1.1      192.168.1.10      20

So my question is: is there a way to modify the routes given by the UTM to allow our clients to avoid problems? Is there a file in the UTM system with the routes generated by the UTM according to the Allowed Networks specify in the SSL Remote Access profile?

Second question about the routes give above:
0.0.0.0        128.0.0.0       10.242.2.5       10.242.2.6      2
128.0.0.0        128.0.0.0       10.242.2.5       10.242.2.6      2

10.242.2.6 is the IP given on our remote computer. What is 10.242.2.5? I guess that this a the IP on a virtual gateway on the UTM? Am I right? When doing a tracert, I saw 10.242.2.1 but not 10.242.2.5 :/

Don't hesitate to ask for further explanation, I don't know if it is clear enough or not.

Kind regards,

DeltaSM


This thread was automatically locked due to age.
  • 0
    Salut, DSM, and welcome to the User BB!

    There's no easy way to modify the routes.  The best solution is to bite the bullet and change your internal subnet to something in 172.16.0.0/12.  The only workarounds now are resource-intensive or messy and, depending on what folks are reaching internally, may require a separate DNS server for remote access.

    How many total SSL VPN clients will you have?  How many connected at a time?  What will they be connecting to via VPN?  Are you considering an appliance or a software version?  Have you played with the HTML5 VPN?

    You might want to ask your reseller to connect you with a Sophos pre-sales engineer.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi BAlfson, first of all, thanks for your answer.

    Indeed, we know that we have to change our internal IP range but as said before, we can't do it for now.

    The good news is that we found a workaround for our issue. In the OVPN configuration file for our VPN SSL, we add some routes like that:
    route 192.168.0.0 255.255.255.0 vpn_gateway
    route 192.168.1.0 255.255.255.0 vpn_gateway
    ...

    These routes override our users' LAN IP ranges and their local routes. So we have no further issues!

    By the way, we already use HTML 5 VPN but we prefer by far the SSL VPN one.

    Regards,

    DeltaSM
Unfiltered HTML