Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 10326 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

I got a strange issue, SSL VPN Clients dont resolve on one UTM but can on other UTM?

JohnKenny
I have 2 UTM's linked with a red tunnel, both basically have identical setups with DNS and firewall rules etc. but when i SSL VPN to site 1 UTM i can resolve hosts on Site 2 LAN fine, but when I SSL VPN to site 2 UTM i cant resolve hosts on Site 2 LAN or Site 1 LAN?

Ive gone through both UTM's setup and they both have the same setup so I cant see what im overlooking so clients on site 2 VPN can resolve correctly.

Each site is separate domain, but the DC DNS at each site has a conditional forwarder for the other sites domain DNS server, both also use there local UTM as there forwarder and the UTM handles external DNS requests.

So as i said im sure i got both UTM's the same yet the results are different?

I should also mention that this is only SSL VPN clients with the issue, hosts on site 2 LAN can resolve hosts on Site 1 LAN so it has to be set up right DNS wise so the trouble is the UTM but i cant see what?

Any ideas?

Thanks

JK


This thread was automatically locked due to age.
Parents
  • 0
    There are too many possible issues related to a RED tunnel in this scenario.  It would be easier if you would set up a temporary IPsec site-to-site and then follow How to allow remote access users to reach another site via a Site-to-Site Tunnel.

    The "VPN Pool (SSL)" in Site2 should be modified from 10.242.2.0/24 to, for example, 10.242.22.0/24.

    In the following, select 'Automatic firewall rules' everywhere.

    In the IPsec Remote Gateway in Site1, 'Remote networks' should include {10.242.22.0/24} as well as the Network definition for the LAN in Site2.

    In the IPsec Remote Gateway in Site2, 'Remote networks' should include {10.242.2.0/24} as well as the Network definition for the LAN in Site1.

    In the IPsec Connection in each site, put "VPN Pool (SSL)" and "Internal (Network)" in 'Local networks'.

    In the SSL 'Remote Access Profile' in both sites, 'Local networks' should include "Internal (Network)" as well as the Network definition for the LAN at the other site.

    In 'Remote Access >> Advanced' in both sites, put the Host definitions for the DNS servers on both sites.  If, for example, Site2 doesn't have a DNS server, use the IP of Site2's "Internal (Address)" in both UTMs.

    Once you've got that working, start a new thread in the RED forum if you can't get that to work instead of the IPsec tunnel.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    There are too many possible issues related to a RED tunnel in this scenario.  It would be easier if you would set up a temporary IPsec site-to-site and then follow How to allow remote access users to reach another site via a Site-to-Site Tunnel.

    The "VPN Pool (SSL)" in Site2 should be modified from 10.242.2.0/24 to, for example, 10.242.22.0/24.

    In the following, select 'Automatic firewall rules' everywhere.

    In the IPsec Remote Gateway in Site1, 'Remote networks' should include {10.242.22.0/24} as well as the Network definition for the LAN in Site2.

    In the IPsec Remote Gateway in Site2, 'Remote networks' should include {10.242.2.0/24} as well as the Network definition for the LAN in Site1.

    In the IPsec Connection in each site, put "VPN Pool (SSL)" and "Internal (Network)" in 'Local networks'.

    In the SSL 'Remote Access Profile' in both sites, 'Local networks' should include "Internal (Network)" as well as the Network definition for the LAN at the other site.

    In 'Remote Access >> Advanced' in both sites, put the Host definitions for the DNS servers on both sites.  If, for example, Site2 doesn't have a DNS server, use the IP of Site2's "Internal (Address)" in both UTMs.

    Once you've got that working, start a new thread in the RED forum if you can't get that to work instead of the IPsec tunnel.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML