Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 24253 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

access subnet with RDP after logging in with SSL VPN

mrainey
I have 2 sites connected with Site2Site VPN. One with Astaro 220, one with Astaro 120 both with version 7.4xx. I have the Remote Access on both boxes set to allow access to the Internal and the Subnet. However, when I remote access with the SSL VPN client into the 220, I cannot open an RDP session to the Terminal Server on the subnet. Automatic Packet Filter Rules is checked.
FYI: When I am in the office I have no problem using RDP from either site, just when I SSL from home does it fail.[:S]


This thread was automatically locked due to age.
  • 0
    I'm a little confused, are connecting to the 220 via ssl vpn and then trying to rdp across the site2site vpn?

    If that is the case, check the site2site config to see if you added the ssl vpn remote network to the local network on the 220 and for the remote networks on the 120 (this might cause a problem if you connect to both astaros with the ssl vpn and use the same default network on both for the remote access group). Or you can create a nat rule for the ssl network so it looks like it it coming the internal ip of the 220 when you try to access the 120 network.
  • 0
    Oh, I see. I need to add the ssl vpn pool to the local networks in the ipsec site2site config. So if at the asg120 site, I change the default ssl ip pool so it is not the same as the ip pool at the 220 site, will that break the existing ssl clients at the 120 side? Will people need to re-install? ( I have a lot more people ssl into the 220 than into the 120, but it is desirable to reach each subnet from the other site)
  • 0
    The internal network from the asg120 is already available to the asg220, so that doesn't need to be changed.  I'm not sure, but I don't think that you will need to change the subnet on a 'VPN Pool (SSL)' either.

    If you want to:

    [home client] -> (Remote Access VPN) -> [ASG220] -> (Site-to-Site VPN) -> [ASG120] -> [Terminal Server]


    What does need to be changed is what's in 'Local networks' in the Remote Access definition.  As dilandau says, add the network definition used for the local network of the asg120 in the Site-to-Site definition on the asg220.  That will cause the 220 to "offer" the local network of the 120 to remote access users.

    Cheers - Bob
    PS Even if you did need to change the subnet of the 'VPN Pool (SSL)', the users would not need to re-install.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I already have the local subnets in the respective Remote Access definitions and it was not working. I think dilandau has it right that it is the ssl vpn pool that must be added to the site to site difinitions and that will likely cause a conflict if that pool is the same on both subnets. Couldn't make the changes last night because people were working REAL LATE from home (get a life people :>) so I'll try it this morning and post the results.
  • 0
    Well, that doesn't fit with how I understand it, so I'll learn something if your idea works.  I believe that the only purpose for an entry in 'Local networks' is to make that network/host available to the remote site/client.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    OK, Bob, back to square 1. Just as you described, I want to SSL from home into the ASG220 site and access the Terminal Server at the ASG120 site. If I add the ASG220 VPN Pool to the Site2Site VPN Local networks it does not make a connection.

    Here is what I have: Four sites BX, NO, BR and LAF. NO and BR are primary offices while BX and LAF are small branches. NO is the hub site with the ASG220 and maintains a Site2Site VPN to the other 3 offices and links BR and LAF to BX. It all works good from any of the 4 offices. My issue is between NO and BR. The NO site2site IPSEC local networks has INTERNAL and BX-INTERNAL. At BR, IPSEC local networks has INTERNAL. 2 SA's show connected on both sides. If I add VPN Pool on the NO side, it does not connect.

    On the Remote Access SSL config at NO I have INTERNAL, BX-INTERNAL and BR-INTERNAL. On the BR side, I have INTERNAL and NO-INTERNAL, but it is not working. I cannot ping or get to the TS at the remote side.

    FYI: You were right about changing the default VPN Pool. It did not even drop the client who had left her connection up, it just assigned a new ip address.
  • 0
    OK, can we look at two pics on the ASG220?  'Edit SSL Connection' in 'Site-to-Site'.  'Remote Access Settings' on the 'Global' tab of 'Remote Access >> SSL'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    There are no site to site SSL connections. The site to site connections are IPSEC. Is that the problem here?
    Here are the IPSEC and Remote Access screenshots:
  • 0
    IPSEC is what I prefer anyway! [;)]  Shouldn't be a problem, but the pics didn't post.

    PS Also, please show 'Remote Gateway' and IPSsec Connection definitions from WebaAdmin on the ASG120.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yep, I edited the post and attached the files. Image insert didn't seem to do what I thought. Can you read them?
Unfiltered HTML