Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 29704 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Remote Access VPN not working

jasongreb_01
I am currently using Sophos UTM 9. I've never successfully been able to get the Remote Access VPN to work (I've searched the forums and followed documents). I currently have a Site-to-Site SSL VPN going which works fine. I can connect to the VPN successfully and get an IP, but I cannot ping or access anything on the internal network. I'm wondering if someone could help me diagnose the issue. Here is my setup:

- DHCP DSL connection with dynamic DNS address (Frontier in NC)
- Internal network is 192.168.1.x
- SSL Remote Access:
--- Internal (Network) [I've also tried Any]
--- Automatic firewall rules
--- Port 444
--- Pool network is VPN Pool (SSL)
- There are no firewall rules that are explicitly blocking related items

Here is what I have done and the results so far:
I've looked at the firewall logs and the only drops were going to DNS. I've since resolved that by adding my VPN Pool into the allowed connections for DNS. I see no errors in the Remote Access logs and it looks like it connects successfully.

I cannot ping any of the internal network address, including the gateway address for the Remote Access connection (10.242.2.5). However, I can ping from the UTM to the remote access IP address (10.242.2.6) successfully. I can also ping from internal machines to the remote device successfully.

I have tried this from a Windows 7 computer, Windows 10, and Android, all with the same results.

Is there something else I can test? A setting I can check?


This thread was automatically locked due to age.
Parents
  • 0
    By testing my own Remote Access SSL VPN, it appears the issue resides with the automatic firewall rule creation.  

    Go to the VPN profile and untick the automatic firewall creation tick box, then go to the firewall and create a rule for your user, setting it to #1:

     VPN User/Group - Any - Internal (network)
  • 0 in reply to JW0914_01
    vilic, yes, my UTM is my gateway and the same IP.

    JW0914, I tried the manual firewall rule like you said, but it didn't work. To confirm, it should be user -> Any -> Internal?

    I am a Home User (used to be a reseller). Here is my config file. I don't see the route commands you mentioned in there. Where would I put those? 

    dev tun

    

    proto tcp

    local 0.0.0.0

    port ***

    mark 4458

    

    daemon

    multihome

    server 10.242.2.0 255.255.255.0

    

    ccd-exclusive

    duplicate-cn

    

    cipher AES-256-CBC

    auth SHA1

    comp-lzo

    

    persist-key

    persist-tun

    reneg-sec 28800

    keepalive 10 120

    verb 3

    down-pre

    username-as-common-name

    

    capath /etc/openvpn/ca.d

    cert /etc/openvpn/server.crt

    key /etc/openvpn/server.key

    dh /etc/openvpn/dh1024.local.pem

    

    client-config-dir /etc/openvpn/conf.d

    status /var/run/openvpn-status.log

    ifconfig-pool-persist /var/run/ipp.txt

    

    management /var/run/openvpn_mgmt unix

    management-client-user root

    management-client-group root

    

    plugin /usr/lib/openvpn/plugins/openvpn-plugin-utm.so


    On the other questions, remote to internal is not working, but internal to remote is (at least ping, haven't tested others). The S2S is a Sophos SSL (other remote site is the server). That connection works just fine. I'm wondering if you can't use SSL S2S and remote access at the same time, but I think they operate on different ports. "Remote Access" is what I am having issues with.
  • 0 in reply to jasongreb_01
    By the way, I found a route statement in /var/sec/chroot-openvpn/etc/openvpn/conf.d/username. I see that it received that in the log, and I don't see an error about it not working. I do however see an old hostname in the log, but I think that this problem was happening before I switched hostnames. I'll update if changing that makes a difference.
Reply
  • 0 in reply to jasongreb_01
    By the way, I found a route statement in /var/sec/chroot-openvpn/etc/openvpn/conf.d/username. I see that it received that in the log, and I don't see an error about it not working. I do however see an old hostname in the log, but I think that this problem was happening before I switched hostnames. I'll update if changing that makes a difference.
Children
No Data
Unfiltered HTML