L2TP/IPsec: pushing routing table down to a VPN client

Hi, if you add the other subnets to the 'local networks' in the UTM VPN settings, they should get propagated to the client.

Barry

Hi Barry,

Thank you for your response.

Can you please tell me where I can find that 'local networks' settings? I can see it in SSL VPN and IPsec VPN settings, but I can't see anything like that in L2TP/IPsec VPN settings. Am I missing something?

Sorry, I keep forgetting that it's not there for L2TP (since I don't use that).

Hopefully someone else can answer your question.

Otherwise, is there some reason you can't use one of the other VPN clients?

Barry

Hmm, based on the following thread - L2TP/IPSec VPN route pushing? - I assume it's not doable with L2TP/IPsec [:(]

Thanks, Barry.

Well, the requirement for our VPN is L2TP/IPsec.

Timelord, if you were to describe more precisely what you want to accomplish, someone might have an idea.

Cheers - Bob

Hi Bob,

I'm sorry if my question was not clear, I'll try to explain it a little bit.

Let's have this example:

• VPN pool: 10.2.1.0/24
  
• UTM external network: 1.2.3.0/24
  
• UTM internal network: 192.168.1.0/24
  

In split-tunnelling mode, if the traffic destination is either within 10.2.1.0/24, or 1.2.3.0/24, or 192.168.1.0/24, it goes to the VPN tunnel. Everything else just goes to the client's default gateway (e.g. local home router, etc).

Let's say there's another subnet 192.168.5.0/24 which is one or two hops far from UTM, i.e. the subnet is not local to UTM. Let's say UTM knows how to get to that subnet, for example either via its default gateway, static routing, or OSPF.

What I want/need is to push the routing information about 192.168.5.0/24 down to a VPN client, so the VPN client knows that any traffic for 192.168.5.0/24 has to go through the VPN tunnel.

If I manually add routing information on the client side, everything works fine.

And it has to be L2TP/IPsec VPN. I know how to do that using SSL VPN, but the requirement is L2TP/IPsec.

Is it doable?

Let's say there's another subnet 192.168.5.0/24 which is one or two hops far from UTM, i.e. the subnet is not local to UTM

You're 100% correct - there can be no joy with L2TP/IPsec.

The Win7 VPN Client also offers an IKEv2 mode.  In another thread, I asked if anyone knew how to configure IPsec Remote Access for the new client, but I've seen no takers this far.

Cheers - Bob

Hello,

I found this thread when looking for automatic route push for L2TP/IPSec clients to the Astaro/Sophos UTM.

BAlfson mentions in this other thread that it is only possible for SSL, Cisco and IPSec VPN.

It is not clear whether this applies to the Astaro/Sophos UTM or L2TP/IPSec in general, so I feel the need to say that I've been using L2TP/IPSec and PPTP on Mac OS X Server for many years, and that it is possible to configure which local networks exist on the VPN server side and that they will be automatically configured on the client side, at least with the built-in VPN client in Mac OS X and at least some version of Windows built-in PPTP client.

I found a few older posts on this forum where people were having problem in reaching hosts on the other side of the tunnel with L2TP/IPSec, and their issues didn't get resolved, at least on this forum, and in some of these cases I think it could just have been a different point of view regarding how traffic going to the internet should be handled, going through the tunnel or not, and that both parties didn't even consider the other possibility, because "who in the world would ever want to do that?" :-)
 
From my point of view, sending all the traffic through the tunnel might not be an optimal solution in all cases due to bandwidth limitations, but I understand that in some cases the whole point with a UTM solution is to be secure at all times, thus sending all traffic through the tunnel.

Maybe we should post "local networks config" for L2TP/IPSec as a feature request?

Hi,Hakan, and welcome to the User BB!

I added your suggestion.  Vote for it at Configure Route Pushes to L2TP/IPsec & PPTP

Cheers - Bob