Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 29695 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Remote Access VPN not working

jasongreb_01
I am currently using Sophos UTM 9. I've never successfully been able to get the Remote Access VPN to work (I've searched the forums and followed documents). I currently have a Site-to-Site SSL VPN going which works fine. I can connect to the VPN successfully and get an IP, but I cannot ping or access anything on the internal network. I'm wondering if someone could help me diagnose the issue. Here is my setup:

- DHCP DSL connection with dynamic DNS address (Frontier in NC)
- Internal network is 192.168.1.x
- SSL Remote Access:
--- Internal (Network) [I've also tried Any]
--- Automatic firewall rules
--- Port 444
--- Pool network is VPN Pool (SSL)
- There are no firewall rules that are explicitly blocking related items

Here is what I have done and the results so far:
I've looked at the firewall logs and the only drops were going to DNS. I've since resolved that by adding my VPN Pool into the allowed connections for DNS. I see no errors in the Remote Access logs and it looks like it connects successfully.

I cannot ping any of the internal network address, including the gateway address for the Remote Access connection (10.242.2.5). However, I can ping from the UTM to the remote access IP address (10.242.2.6) successfully. I can also ping from internal machines to the remote device successfully.

I have tried this from a Windows 7 computer, Windows 10, and Android, all with the same results.

Is there something else I can test? A setting I can check?


This thread was automatically locked due to age.
  • 0
    No problem at all =]

    I wasn't aware of that... while I understand Sophos products are designed for the enterprise network, to cripple OpenVPN as they have done is baffling.  I understand why they wouldn't allow the Sophos UTM box to be configured as an OpenVPN client, but to cripple OpenVPN to this degree is just... baffling.
  • 0
    Guys, I think there must be a different problem.  I know I've seen SSL site-to-site and Remote Access work well together.  Still, I do prefer IPsec with X509 certificates for Site-to-Site.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I hadn't changed any firewall rules however for the IPsec. In fact, I had the tunnel built already, just disabled. For whatever reason, I was using SSL for the S2S. Once I disabled it on both ends, my remote access started working. I wonder if there is an extra step if you are using both.
  • 0 in reply to jasongreb_01
    I hadn't changed any firewall rules however for the IPsec. In fact, I had the tunnel built already, just disabled. For whatever reason, I was using SSL for the S2S. Once I disabled it on both ends, my remote access started working. I wonder if there is an extra step if you are using both.

    Because I've never used site-to-site, someone who has will need to verify the validity of the following:

    Because of Sophos crippling openvpn to the point it's useless (it functions, but is thoroughly useless without cli edits), I don't believe it to be possible to utilize both site-to-site and remote access with both in server mode on the same device.

    However, it should be able to co-exist fine with the remote access server on one, the site-to-site server on the other, and with the device running the remote access server setup as a site-to-site client.  The site-to-site server would need to be configured with either a different subnet, the same subnet with a higher netmask if the site-to-site client is also configured as a remote access server (i.e. remote access 10.1.1.0/26, site-to-site 10.1.1.0/27, or vice versa), or the same subnet and netmask with a higher IP pool for one (i.e. remote access 10.1.1.0/26, site-to-site 10.1.1.64/26. or vice versa).

    Sophos cannot be configured as a remote access client (at least as of currently, however I'm determined to find a way around that through modifications), but it can be with site-to-site.
Unfiltered HTML