Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 5064 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN passthrough with Checkpoint Endpoint client

fustyler
I need some help with setting up a checkpoint endpoint VPN client on the internal network to connect to a remote VPN server over the internet. I have a Sophos UTM device connecting the LAN to the Internet.

On the Sophos UTM, I have created a rule to allow any source network, any service, to the external destination VPN gateway IP addresses. During testing I have even allowed any destination. 

However, the VPN client does not complete the connection. I am not seeing any drops on the firewall log. The web filterig and IPS logs are not showing anything unusual.

Should there be anything else that I need to configure to enable VPN passthrough on the Sophos UTM?

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    To add further information, this is what I'm seeing on the logs of the checkpoint VPN client:

    [24 Mar  9:23:18] User pressed connect
    [24 Mar  9:23:18] Creating primary conn flow to **VPN Policy name hidden**
    [24 Mar  9:23:18] Transport is auto detect
    [24 Mar  9:23:38] Client state is connecting
    [24 Mar  9:23:38] Policy changed, restarting connection (2)
    [24 Mar  9:23:39] Sent ClientHello
    [24 Mar  9:24:39] Client state is connecting
    [24 Mar  9:24:39] Failed to connect (2)
  • 0
    More information:
    Nat Masquerading rule is on, with Internet (network) -> External (WAN)

    I have also added a SNAT rule to change the source IP from internal network to the UTM WAN IP address for traffic to port UDP 500 (IPSec IKE):
    Any source -> IPsec - IKE -> remote VPN gateway
    Source translation: External (WAN) address, IPsec - IKE
  • 0
    Hi, fustyler, and welcome to the User BB!

    Since you have a Masq rule, you don't need the SNAT.  Also, see #5 in Rulz.

    You've looked in the right places - drops in the Firewall log and Anti UDP-Flooding activity in the Intrusion Prevention log.  If you'd had the UTM longer, I would have suggested looking in the Application Control log.  I suspect a bad password, pre-shared key or some other misconfiguration, so you'll need to have the admin for the CheckPoint get the portion of the IPsec log that corresponds to the time you tried a connection.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I have tried even disabling IPS protection, but still cannot connect. Will dig further..
Unfiltered HTML