Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 8216 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing a public subnet trough S2S VPN

TuxBrother
First of all, let me start with this one:

VPN: Run multiple SSL VPN instances

Bob Alfson stated:

Christian, please ask this question on the User BB - I believe this already is possible: http://www.astaro.org/


I searched thoroughly and can't find it anywhere. More flexibility on this one would be great, since S2S tunnels usually needs different setup options then remote access users. Maybe it's possible to do it via SSH?

So now the question itself.

I have an remote endpoint at a ISP having some nice things only available on their network. (I know the subnet, so I want to route that via the S2S VPN). So I configured an SSL S2S VPN, the tunnel is up and everything seems to work as expected. However, when I try to make a policy route via the remote endpoint for the specified (Public!) subnet, UTM doesn't seem to use it. (At least trace route tells me that). When I add the subnet in the VPN Remote Networks section, it doesn't work all together. The firewall log is silent about this, and yes, I created the firewall rules accordingly.

Note that de endpoint I'm connecting to resides within that subnet, so I created another policy route for that one.

Any ideas?


This thread was automatically locked due to age.
  • 0
    That comment was made over 4 years ago.  I clearly didn't read your feature suggestion closely enough as I must have thought you were asking for multiple tunnels.  You're right, multiple instances are not possible.

    I prefer IPsec for this as it's easier to "see" what's happening.  I've done the exact thing with IPsec that you describe.

    With SSL VPN, I would create the Server in the remote site where the public subnet exists and include that subnet in 'Local Networks'.  No additional routing should be necessary.  Is this what you've already tried?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    That comment was made over 4 years ago.  I clearly didn't read your feature suggestion closely enough as I must have thought you were asking for multiple tunnels.  You're right, multiple instances are not possible.

    Sad. Site to Site VPN's are 100% controlled environments, so the best configuration options can be chosen. In Road Warrior setups, compatibility is chosen over other things. Now I need to make a choice: OR I drop RoadWarrior compatibility in favour of a good performing Site to Site setup, OR I have a less performing Site to Site setup in favour of a more compatible RoadWarrior setup. (TCP/443 is allowed in most (corporate) environments, where I'd pick UDP for S2S setups for added performance, for instance).

    Why use OpenVPN TUN for S2S anyway? TAP Fits the situation better in my opinion, since you want to attach the network as if it's local. At least a choice would be great.

    When using IPSec, I get NAT-Traversal messages in both logs, what is strange since both Gateways have the public IP attached. I can't make a connection though, but that is due a bug in the remote software which will be patched shortly.

    With SSL VPN, I would create the Server in the remote site where the public subnet exists and include that subnet in 'Local Networks'.  No additional routing should be necessary.  Is this what you've already tried?

    The opposite gateway is not an UTM, and doesn't have a remote networks field. When I look in the logs, I see the remote endpoint gets an (UTM internal) IP assigned. (In the default 10.242.2.0/24 range) It seems to route the network to that address instead of the remote subnet. Trace route tells me it reaches that hop, where it hangs. I can't see any firewall/other log entries on the other side about that.

    Edit: I might want to add that the opposite system allows me to edit the openvpn config file.
  • 0
    In every client where they wanted to have a "tight" firewall configuration, I've had to add a rule to allow UDP 443.  It seems that Chrome will switch to that when connecting with Google web servers.

    If the UTM is the Server side of a Site-to-Site SSL VPN tunnel, then you would need a static route in the UTM for the remote public subnet.  I hope that the other end gets IPsec patched soon for you.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML