Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 2 subscribers
  • Views 23655 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Split Tunneling Question

Dementech
Hello AUBB

I'm running an ASG220 V8.102 and would like to make sure that my VPN connections are secure.

I have a PPTP and an L2TP/IPSec connection that were both created before I came on board.  I have recently read about MSCHAPv2 being considered to be cracked and plan to retire that connection asap.

I received a well intended suggestion about using "split tunneling" to allow remote access users to browse the web while connected to the VPN.

From what I've seen so far, "split tunneling" is a concept of SSL VPNs.

Can anyone confirm this or point me to a good, authoritative explanation of "split tunneling"?

Thank you very much.


This thread was automatically locked due to age.
  • 0
    Hi, split tunneling is not limited to SSL VPNs.

    It is a setting (configured on Astaro, which then sets routes in the config file for the client) where the remote client uses the tunnel to access resources local to the VPN server (e.g. the corporate LAN), but DOES NOT tunnel traffic to the rest of the INTERNET (the traffic would go out through the client's default gateway and not through the VPN).

    An alternative is to have ALL traffic tunneled; in that case you need to add 'internet' to the Allowed or 'Local' Networks in Astaro's VPN settings.

    Barry
  • 0
    Hi BarryG,

    Thanks for your response.  Can you please provide more details on setting this up for PPTP and L2TP/IPSec connections, or point me in the right direction?

    The Microsoft VPN client is being used.

    Thanks again.
  • 0
    Hi, I may have partially misspoken.

    Split Tunneling works in RED tunnels, SSL, and I believe in IPSEC.

    I don't know if it works in PPTP and L2TP or not.

    Is there some reason you can't switch to SSL?

    Barry
  • 0
    Hey BarryG,

    Like I said, the VPN connections were setup before I came on board, and I'm pretty much learning as I get confronted with issues.

    The L2TP/IPSec, for the most part, is used for connect to the internal network and accessing network shares; users are not RDP-ing to any boxes on the internal network.

    The PPTP connection is used by developers to have RDP access to their company workstations, and the DEV software installed on them.

    I'm looking at Remote Access SSL in the V8 manual right now, and I see that "It provides the ability to create point-to-point encrypted tunnels between remote employees and your company..."

    But would it be a good solution for developers using remote desktop to get to their company workstations?

    Thanks.
  • 0
    I don't see any reason that SSL would be worse for the user than the others.

    If you have a LOT of users, then SSL is not the most efficient in terms of load on the firewall though.

    Barry
  • 0
    In L2TP/IPsec and PPTP using the Microsoft client, the user selects a split tunnel by removing the check mark from 'Use deault gateway on remote network' in 'Advanced TCP/IP Settings' in the VPN Connection Properties.

    If it hasn't already been discussed, your company should consider a "Refresh" now to replace your old 220 with a new UTM 220.  There's a nice discount if it's purchased before 3/28/2013.

    Cheers - Bob
    PS If you have an Active Directory, the SSL VPN offers some benefits over L2TP/IPsec.  If you want to evaluate it, be sure to change the protocol from TCP to UDP on the 'Settings' tab before you start distributing the clients.  Also, pay attention to Barry's warning about too many users for your 220.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Good day everyone! (Yes i'm reviving this post.)

    Just to double check; If i want to disable split tunneling, i would simply have to add the internet definition to the local networks under the SSLVPN profile?
  • 0 in reply to DrewbleIT
    Internet or Any (0.0.0.0) would make a Full Tunnel, correct.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Thank you for confirming Scott! Worked exactly as needed. [:)]
  • 0 in reply to BAlfson

    Bob, i have the same question regarding split tunneling on L2TP VPN using Microsoft vpn client.

    If i uncheck  'Use deault gateway on remote network' in 'Advanced TCP/IP Settings' in the VPN Connection Properties, then i have in my local routing table a default route using the local lan interface of my home router, and thus i cannot reach the remote encryption domain of the VPN.

    If i leave 'Use deault gateway on remote network' in 'Advanced TCP/IP Settings' in the VPN Connection Properties checked, then i can see in the routing table of my PC 2 default routes: one using the L2TP local interface and one using the LAN interface of my router; the difference is that the one using the l2tp interface has a lower metric, thus it is preffered and all the traffic is routed through it.

    So as far as i can see, it is either i have a full VPN tunnel, either i don't have a tunnel at all. Is there any chance to configure a split tunnel on the l2tp vpn setup?

     

    Thanks

Unfiltered HTML