Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 19658 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to route SSL VPN clients to next hop network

whitetr6
I'm not sure what the right approach to this would be.

I have a Sophos 120, running 9.2x. I have configured a SSL VPN that allows the clients that log in to get to all of the resources in the same local network as the UTM itself. Let's call that 192.168.1.x

I have a second network, 192.168.2.x and there is a separate router (not the UTM) to allow traffic between the two networks.

The problem is how to allow the VPN clients access to the 192.168.2.x network.

I can think of a few ways this might work:

1. Manually run a script that is triggered when the connection is made to add a route to the client
2. Policy route that allows the firewall to route traffic from source --> VPN SSL Pool to destination --> 192.168.2.x
3. Eliminate the separate router and use an unused interface on the UTM to route the traffic so the network can be considered "local." eth3 is not currently in use. The problem there (I think) is that currently all the local clients on the 192.168.1.x are using a static route on the current router to get to the 192.168.2.x network. So what happens if I eliminate that device and let the UTM route the traffic - i.e. since the current default gateway for these devices is 192.168.1.1 which is on the UTM, if I configure an interface for 192.168.2.x on the UTM, do the local clients no longer need a static route?

I could be totally wrong on any or all three of these, so please offer any ideas you may have on the best method. Obviously this needs to be as "hands-off" for the users as possible

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    You want a gateway route, not an interface route.  Route traffic to the IP of the other router.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    You want a gateway route, not an interface route.  Route traffic to the IP of the other router.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Yep that's what I have, but unfortunately it's still not working. At the moment I'm trying to figure out how to tcpdump as Barry suggested so I can see where the issue is.

    So to summarize, here's the current status:

    1. A UTM sits in Network 1, with internal IP 192.168.1.1
    2. A separate router has two interfaces, 192.168.1.253 and 192.168.2.253 (Network 2)
    3. Network 2 is connected with a Metro Ethernet to Network 1, using that router
    4. All devices in network 1 have a static route 192.168.2.0/24 -> 192.168.1.253
    5. All devices in network 2 have a static route 192.168.1.0/24 -> 192.168.2.253
    6. All devices in both networks can ping everything in the other network
    7. SSL VPN clients get an address from "SSL VPN Pool", such as 10.242.2.x. 
    8. Once connected, a VPN client device can ping any address in 192.168.1.x, but cannot ping any address in 192.168.2.x
    9. The UTM has a static (gateway type) route which is defined as Network: 192.168.2.0/24, and Gateway: 192.168.1.253. This seems to work as the UTM is able to ping anything in both networks.
    10. No policy Route is defined
    11. Both networks are defined as Local Networks in the settings for the SSL VPN

    Does that point out any incorrect settings?
Unfiltered HTML