This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Static IP for SSL VPN

I know that there is currently no support for using static IPs for clients connected through SSL VPN. 

A fellow co-worker found a way to do it when we had Astaro 8. This was done by creating a file with the same name of the user and adding it to /var/sec/chroot-openvpn/etc/openvpn/server. Within the file we added ifconfig-push x.x.x.1 x.x.x.2 which would cause the client to get that IP when connected. After we updated to Sophos 9, that is no longer working.

I know this isn't an officially support way of do it but was wondering if anyone could shed some light as to why it would in v8 but not in v9.2


This thread was automatically locked due to age.
  • Whenever user "eporro" logs into SSL VPN Remote Access, the "eporro (User Network)" object is populated with the IP assigned to eporro.  Now, everywhere in WebAdmin where you would want a Host definition with a fixed IP, you can simply use the "(User Network)" object.

    If you have three AD Security groups VPNIT, VPNSales and VPNService, you can use Backend Groups in 'Allowed Users/Groups' in the SSL VPN Profile and then make rules using the "VPNIT (User Group Network)" object, etc.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks for the hints Bob. That helps with anything within the firewall but doesn't help if I need to access a share remotely or even just ping by dns name for example.
  • access a share remotely

    If you're accessing from a laptop that is a member of the domain, then this should work.  Or, do you mean a device in the LAN trying to access a share on the laptop connected to the SSL VPN?

    ping by dns name

    This depends on your DNS Configuration.  You might take a look at DNS Best Practice.  To go along with that, your DNS servers on 'Remote Access >> Advanced' would be, in order, your internal DNS server and the IP of "Internal (Address)."  Also, "VPN Pool (SSL)" would need to be in 'Allowed Networks' in DNS.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • For the file share access, I meant accessing a share the laptop. For example \computer\c$ when if I need to verify a file exists on the laptop's C drive. 

    I cannot change how our DNS is configured so I guess I will have to figure something else out.
  • There is a trick you can use that starts with creating a Host named "Remote eporro" with a fixed IP that you want to assign to yourself.

    SNAT : eporro (User Network) -> Any -> Internal (Network) : from Remote eporro

    DNAT : Any -> Any -> Remote eporro : to eporro (User Network)


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I did see that was a way to do it on a Sophos PDF but I think I have found why my older way stopped working. The openvpn.conf file had the user-confg-dir to a different directory than before. I will try changing it when no one is on to see if that is the case.
  • Is there a way to restart the SSL VPN server without restarting the whole firewall?
  • Disabling the feature and re-enabling in WebAdmin usually restarts things, or there's usually a script in /etc/init.d

    Barry
  • There isn't a way to disable the feature. I think it was in v8 but looks like it was removed in v9. I also could not find anything in /etc/init.d