Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

One-Way Trust VPN Login

I have the client portal VPN page setup.  I have a one-way trust between Domain A and Domain B.  I have configured Domain B on Sophos and can login to that domain fine.  Whenever my end users try to login to the Sophos VPN from Domain A they get denied.  I know this works in windows fine as I can login/RDP to machine in Domain B using my Domain A credentials fine.  Any assistance on getting this working would be appreciated without having to explicitly open an AD connection from Sophos to Domain A. 

Thanks


This thread was automatically locked due to age.
  • Hi, jclark, and welcome to the User BB!

    I think you haven't gotten a reply yet because you're new with the UTM and don't realize that your statements can be interpreted in more than one way.  At least, I acknowledge that I can't see the "picture" that you're describing.

    I have the client portal VPN page setup.

    Do you mean that you have one or more HTML5 VPN Portal Connections configured?  Please show a picture of the Edit of each (click on [Go Advanced] below to attach pics and files).

    I have a one-way trust between Domain A and Domain B.

    Does A trust B or does B trust A?

    I have configured Domain B on Sophos and can login to that domain fine.

    Do you mean that you have configured an AD server definition on the 'Servers' tab of 'Authentication Services'?  What do you mean by "login to that domain" - open an RDP session using an HTML5 VPN Connection or something else?

    Whenever my end users try to login to the Sophos VPN from Domain A they get denied.

    Do you mean that they can't get to the User Portal or that an HTML5 VPN Connection doesn't authenticate them correctly?

    Why not establish a two-way trust between A&B or add an authentication server definition to the UTM for Domain A?

    Cheers - Bob
    PS If this is about HTML VPN Connections, you should know that that method is very CPU-intensive.  Five simultaneous users might lockup the computer running the UTM.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Bob,

    Thanks for the reply.  I will attempt to answer each question to the best of my ability.

    1. We have a single SSL VPN portal page setup.  I access this page configuration by navigating to Client Access -- SSL.  My company policy prevents me from sharing screenshots but if you need specifics on the configuration I will do my best to supply.  The SSL VPN is not an issue, only authentication into the SSL VPN.  If I use a local account to sophos my SSL VPN works flawlessly.

    2. Domain B has an external One-Way trust with Domain A.  Therefore Domain B trusts all users from Domain A. Sophos exists in Domain B. 

    3. I have configured a AD server definition in the SErvers tab of Authentication Services.  When my users navigate to the Client Access --SSL VPN portal page, they are able to supply either a local Sophos username or Domain B username and password and they are able to login to the VPN and launch the full client which grants them RDP access.

    4. When the end users attempt to access the VPN page using credentials from Domain A they receive access denied at the portal page.  Sophos shows in the log that the connection/user account was "DENIED" and not verified by AD. 

    5. A two-way trust cannot be established at this time due to the existing security policies in place at this location.  

    Overall what is interesting is I can DSQUERY Domain A from Domain B and the reverse and find accounts.  It seems as though whenever I try to run an LDAP query from Sophos to Domain A it always fails.  I know I must be missing something simple but I just cannot figure out what it is.  Any additional help you can provide would be greatly appreciated.
  • 1. So this is not one of the UTM's Remote Access methods - rather another product that offers a clientless SSL VPN? [:S]

    4. Do the logs in the two AD servers indicate that the Domain A server denied auth or that the Domain B server even requested it?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Bob,

    This is using UTM and there client based VPN access.  The logs in the AD server don't ever show a request incoming when using Domain A. If I use Domain B it shows everything as fine.
  • LDAP does not care about domain trusts.
    You must define a LDAP server in every domain where you have users.
  • Did you see my suggestion?  "If this is about HTML VPN Connections, you should know that that method is very CPU-intensive. Five simultaneous users might lockup the computer running the UTM."

    The logs in the AD server don't ever show a request incoming when using Domain A. If I use Domain B it shows everything as fine.

    Does the AD server in B show receiving a request to authenticate a user in Domain A?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA