Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 29693 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Remote Access VPN not working

jasongreb_01
I am currently using Sophos UTM 9. I've never successfully been able to get the Remote Access VPN to work (I've searched the forums and followed documents). I currently have a Site-to-Site SSL VPN going which works fine. I can connect to the VPN successfully and get an IP, but I cannot ping or access anything on the internal network. I'm wondering if someone could help me diagnose the issue. Here is my setup:

- DHCP DSL connection with dynamic DNS address (Frontier in NC)
- Internal network is 192.168.1.x
- SSL Remote Access:
--- Internal (Network) [I've also tried Any]
--- Automatic firewall rules
--- Port 444
--- Pool network is VPN Pool (SSL)
- There are no firewall rules that are explicitly blocking related items

Here is what I have done and the results so far:
I've looked at the firewall logs and the only drops were going to DNS. I've since resolved that by adding my VPN Pool into the allowed connections for DNS. I see no errors in the Remote Access logs and it looks like it connects successfully.

I cannot ping any of the internal network address, including the gateway address for the Remote Access connection (10.242.2.5). However, I can ping from the UTM to the remote access IP address (10.242.2.6) successfully. I can also ping from internal machines to the remote device successfully.

I have tried this from a Windows 7 computer, Windows 10, and Android, all with the same results.

Is there something else I can test? A setting I can check?


This thread was automatically locked due to age.
  • 0
    I can tell you what the problem more likely than not is, but I'm not sure how to fix it...

    route 192.168.x.x 255.255.255.x
    push route 192.168.x.x 255.255.255.x

    is missing from the server config

    or

     route 192.168.x.x 255.255.255.x 

    is missing from the client config (if the first route command is already in the server config, where the subnet and mask are that of the remote network you're trying to access)

    It's either that, or it's firewall rules and/or NAT.  You can try adding the route command to the client config, and if you're not a paid licensee, you can manually edit the server config and add the route command as well... however it wouldn't be permanent.

    [SIZE="1"]**DISCLAIMER: Making any changes via the command line interface [cli] results in the loss of support and warranty for paid licensees**[/SIZE]
  • 0 in reply to JW0914_01
    JW0914, where do I adjust the "server" config? I've looked at the routes on my client, and 0.0.0.0 with the lower metric is supposed to be hitting the gateway 10.242.2.5.

    This is the route currently in the OVPN file:
    route remote_host 255.255.255.255 net_gateway

    I added the route manually in Windows to test, but that hasn't helped.

    On the firewall rules, I do see the automatic rule where my VPN user can access "Internal". For the NAT, I thought I had understood you only needed that if you were trying to go to "Any", but not needed for "Internal".
  • 0
    Is UTM LAN IP address configured as default gateway for your internal network devices ?
  • 0
    I edited my reply possibly before you replied, so just to be sure, please re-read it due to the added info.  If you're a home user, you can edit the server config, however if you're a paid licensee you cannot (as any modifications done via the cli voids support and Sophos will only help you after you've reinstalled).

    I can better help if I have the output from the server config, and if you are a paid licensee, the following command [via the terminal] will not void support as it's not making a modification:

    cat /var/sec/chroot-openvpn/etc/openvpn/openvpn.conf

    Please remove the port number and any other sensitive information, such as full IPs.

    Also, you mention both site to site and remote access... which one are you having the issue with (it wasn't clear from the way you explained, and I think you meant while you're able to connect to your site to site vpn, you aren't able to access the local network on the remote sophos device.  Site-to-Site is Sophos to Sophos, while Remote Access is from Sophos to remote client)

    • If it is the site to site you're having issues with, did you add the remote sophos device's subnet to the the remote networks box within the site to site ssl profile (Site-to-Site VPN - SSL - Profile [edit])?
  • 0
    By testing my own Remote Access SSL VPN, it appears the issue resides with the automatic firewall rule creation.  

    Go to the VPN profile and untick the automatic firewall creation tick box, then go to the firewall and create a rule for your user, setting it to #1:

     VPN User/Group - Any - Internal (network)
  • 0 in reply to JW0914_01
    vilic, yes, my UTM is my gateway and the same IP.

    JW0914, I tried the manual firewall rule like you said, but it didn't work. To confirm, it should be user -> Any -> Internal?

    I am a Home User (used to be a reseller). Here is my config file. I don't see the route commands you mentioned in there. Where would I put those? 

    dev tun

    

    proto tcp

    local 0.0.0.0

    port ***

    mark 4458

    

    daemon

    multihome

    server 10.242.2.0 255.255.255.0

    

    ccd-exclusive

    duplicate-cn

    

    cipher AES-256-CBC

    auth SHA1

    comp-lzo

    

    persist-key

    persist-tun

    reneg-sec 28800

    keepalive 10 120

    verb 3

    down-pre

    username-as-common-name

    

    capath /etc/openvpn/ca.d

    cert /etc/openvpn/server.crt

    key /etc/openvpn/server.key

    dh /etc/openvpn/dh1024.local.pem

    

    client-config-dir /etc/openvpn/conf.d

    status /var/run/openvpn-status.log

    ifconfig-pool-persist /var/run/ipp.txt

    

    management /var/run/openvpn_mgmt unix

    management-client-user root

    management-client-group root

    

    plugin /usr/lib/openvpn/plugins/openvpn-plugin-utm.so


    On the other questions, remote to internal is not working, but internal to remote is (at least ping, haven't tested others). The S2S is a Sophos SSL (other remote site is the server). That connection works just fine. I'm wondering if you can't use SSL S2S and remote access at the same time, but I think they operate on different ports. "Remote Access" is what I am having issues with.
  • 0 in reply to jasongreb_01
    By the way, I found a route statement in /var/sec/chroot-openvpn/etc/openvpn/conf.d/username. I see that it received that in the log, and I don't see an error about it not working. I do however see an old hostname in the log, but I think that this problem was happening before I switched hostnames. I'll update if changing that makes a difference.
  • 0
    I compared your conf to mine and minus the IP/port #, everything is the same.  I doubt you're receiving any errors in the vpn log, as verb is set to 3, but I would check it anyways.

    In order to fully troubleshoot, verb needs to be set to a minimum of 7, so this is where you have a decision to make... if you have paid sophos support, I'd use it, as your only option would be to manually change the verb to 7 in openvpn.conf-default, disable, then re-enable vpn profile(s).

    Sophos clearly states 

    If not explicitly approved by Sophos support, any modifications done by root will void your support.

    and while you could change the verb back to 3 after troubleshooting, I'm not sure if Sophos support is able to track cli changes if the changes were reverted back to their defaults.  If you do decide to edit via the cli, prior to doing so, ensure the firewall rules on the remote device are not the issue, as my hunch is it's some sort of firewall issue on the remote device; however, due to Sophos' custom application of openvpn by confd, it's harder to troubleshoot what normally would be a fairly easy problem to troubleshoot and fix.  Have you tried disabling web filtering to see if that's the cause (although it's odd you're not seeing any dropped packets in the firewall log).   

    Also, is the vpn connecting two Sophos boxes (site-to-site) or a sophos box to a non-sophos remote device (remote access)?  If it's site-to-site, disable web filtering on both and compare the firewall logs of both devices when you make an attempt to access the local network of the remote device.  Ensure Enable debug mode is ticked under Site-to-Site - SSL - Advanced or Remote Access - SSL - Advanced

    I haven't had much time to work on Sophos' openvpn implementation, however I do know from the little I've used it, I much prefer the OpenVPN VPN I have set up through OpenWRT on my WRT1900.  Earlier when I was testing mine as a reference point, I could access certain devices on my network, like my printer and AV receiver, but couldn't get a connection through to my FreeNAS server via CIFS, even though the firewall log clearly showed the packet was allowed to pass.  To verify it wasn't my FreeNAS server, I connected to the OpenVPN servers (I run 2) on my WRT1900 and was able to connect and view my CIFS shares just fine.

    Just to reiterate, if you have paid support, I would highly recommend using it, as the only way I know of to troubleshoot your issue would be by looking at the OpenVPN logs with verb set to 7 (anything lower leaves out crucial information, while anything higher provides information not needed) on both the server and the client (client is easy to modify since you can modify the ovpn file in any text editor).

    Edit the client ovpn file, add the options below, then reconnect with it

    verb 7
    float
    preresolve


    • It may or may not accept the preresolve option, so if it causes an issue, remove it

    You'll need to then pull up the client vpn log and compare it to the two firewall logs from above when you attempt to access the local network of the remote device.
  • 0
    Also, under Remote Access - Advanced of the server, ensure the DNS of the local network is specified there.
  • 0 in reply to JW0914_01
    So I have this figured out. Apparently, you cannot have TWO SSL VPNs going. As I mentioned, I have an SSL S2S where my UTM is a client. I then also enabled Remote Access via SSL. I started thinking that this was possibly a pool issue after discussing it with a friend in networking. He mentioned "interesting traffic". Since both VPNs use the same pool, it is likely that the traffic was going to my home UTM, then out the other firewall. I attempted to give the Remote Access VPN it's own pool, but it changed the pool on the SSL S2S also. This seems like an issue with the UTM where you cannot break up that traffic. I've since moved my S2S to IPsec (still have issues there, but working those out), and now my SSL Remote Access is working for my internal network. After having fought with this for a year now off and on, I think this is worthy of a personal blog post.

    Thank you JW0914 for helping me work through this. It's the most thought I've put into it and it ultimately helped me come to the solution.

    Now, to put a feature suggestion in that different SSL VPNs can have different pools...
Unfiltered HTML