Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 19664 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to route SSL VPN clients to next hop network

whitetr6
I'm not sure what the right approach to this would be.

I have a Sophos 120, running 9.2x. I have configured a SSL VPN that allows the clients that log in to get to all of the resources in the same local network as the UTM itself. Let's call that 192.168.1.x

I have a second network, 192.168.2.x and there is a separate router (not the UTM) to allow traffic between the two networks.

The problem is how to allow the VPN clients access to the 192.168.2.x network.

I can think of a few ways this might work:

1. Manually run a script that is triggered when the connection is made to add a route to the client
2. Policy route that allows the firewall to route traffic from source --> VPN SSL Pool to destination --> 192.168.2.x
3. Eliminate the separate router and use an unused interface on the UTM to route the traffic so the network can be considered "local." eth3 is not currently in use. The problem there (I think) is that currently all the local clients on the 192.168.1.x are using a static route on the current router to get to the 192.168.2.x network. So what happens if I eliminate that device and let the UTM route the traffic - i.e. since the current default gateway for these devices is 192.168.1.1 which is on the UTM, if I configure an interface for 192.168.2.x on the UTM, do the local clients no longer need a static route?

I could be totally wrong on any or all three of these, so please offer any ideas you may have on the best method. Obviously this needs to be as "hands-off" for the users as possible

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Forgive me if I am completed wrong here, but this seems very similar to the issue I had trying to figure out how to have one subnet access multiple subnets through only one site2site tunnel.  for example, I wanted site A to access site C, and I currently have a tunnel between Site A to Site B, and Site B to Site C.  In your case, the VPN user would be site A, and you are wanting to access site C via Site B???  If this is correct, I was able to achieve this.  I did not need to manually create any type of routes.  All I did was add site C's local network to Site A's (your VPN's local networks), added the VPN's IP pool subnet to site C's tunnel to site B, and then sort of "criss-cross" on Site B's (adding Site A local network to tunnel to Site C, and adding Site C local network to tunnel to Site A)....  This is known as "hub & spoke" vpn topology.  I don't have my UTM interface in front of me at the moment, so I cannot be more accurate with my details, but let me know if you need more accurate details.

    I now realize I misunderstood your setup.  I was thinking you had a site2site tunnel between the two routers, but now see you said metro Ethernet.  But I think the same "hub & spoke" concept still applies.  If traffic is successfully being routed in both directions between 192.168.1.x and 192.168.2.x, then my guess would be maybe that you are missing 10.242.2.x on the separate router (so that if network 2 needs to "respond" back to VPN client, it knows to be routed through 192.168.1.x).  Example:  "All devices in network 2 have a static route 10.242.2.0/24 -> 192.168.2.253"...  I'm not an expert here, just figure things out by trial and error (hopefully not dropping entire network during the process).  [:)]
  • 0 in reply to tm-rimak
    Thanks guys for the replies. 

    You are correct that I had not thought to add the static route 10.242.2.0/24 -> 192.168.2.253 to the devices in the 192.168.2.x network so they would know how to get back. So that works. I believe the reason routing between 10.242.2.0 and 192.168.1.0 networks works  without having to do that to all of its devices is that 192.168.1.0 is truly a "local" network to the UTM, whereas 192.168.2.0 is not. That is, there is no interface on the UTM assigned to the 192.168.2.0 network.

    So one thing I'm looking at now is whether I can eliminate the additional router and just use an available interface on the UTM to route all of the traffic between the subnets. I think I can do that, I just have to figure it out and try it on the weekend when I won't affect everyone's work.

    Thank you again, this has been a very helpful discussion for me.
Reply
  • 0 in reply to tm-rimak
    Thanks guys for the replies. 

    You are correct that I had not thought to add the static route 10.242.2.0/24 -> 192.168.2.253 to the devices in the 192.168.2.x network so they would know how to get back. So that works. I believe the reason routing between 10.242.2.0 and 192.168.1.0 networks works  without having to do that to all of its devices is that 192.168.1.0 is truly a "local" network to the UTM, whereas 192.168.2.0 is not. That is, there is no interface on the UTM assigned to the 192.168.2.0 network.

    So one thing I'm looking at now is whether I can eliminate the additional router and just use an available interface on the UTM to route all of the traffic between the subnets. I think I can do that, I just have to figure it out and try it on the weekend when I won't affect everyone's work.

    Thank you again, this has been a very helpful discussion for me.
Children
No Data
Unfiltered HTML