Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 2 replies
  • Subscribers 0 subscribers
  • Views 704 views
  • Users 0 members are here
Options
Suggested

[9.171][CLOSED] No access over SSL VPN

mod2402
Release 9.170-21. SSL VPN works with radius/OTP Authentication but can't Access any ressource in my local testlab. here are some Firewall logs:

2013:11:22-23:51:55 asg-1 ulogd[5059]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="tun0" outitf="eth0" srcmac="0:1a:8c:f0:4b:a0" srcip="10.242.2.6" dstip="192.168.24.3" proto="6" length="48" tos="0x00" prec="0x00" ttl="127" srcport="56933" dstport="3389" tcpflags="SYN" 
2013:11:22-23:51:56 asg-1 ulogd[5059]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="tun0" outitf="eth0" srcmac="0:1a:8c:f0:4b:a0" srcip="10.242.2.6" dstip="192.168.24.250" proto="17" length="71" tos="0x00" prec="0x00" ttl="127" srcport="60703" dstport="53" 
2013:11:22-23:51:56 asg-1 ulogd[5059]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="tun0" outitf="eth0" srcmac="0:1a:8c:f0:4b:a0" srcip="10.242.2.6" dstip="192.168.24.250" proto="6" length="48" tos="0x00" prec="0x00" ttl="127" srcport="56936" dstport="88" tcpflags="SYN" 
2013:11:22-23:51:56 asg-1 ulogd[5059]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="tun0" outitf="eth0" srcmac="0:1a:8c:f0:4b:a0" srcip="10.242.2.6" dstip="192.168.24.250" proto="17" length="118" tos="0x00" prec="0x00" ttl="127" srcport="63782" dstport="53"

I think automatic created Firewall rule don't work.

€dit
manuel created Firewall rule -> same result
Parents
  • 0
    I've used a remote radius/otp Server to authenticate the ssl vpn user. In the ssl vpn config I've just defined the radius user Group. In the official release this works for me and I could access internal resources. In the beta release I've problems to access internal resources.

    Now, I've tested the new onboard otp solution. With a local account I could connect to ssl vpn with otp and I could connect to internal resources.

    I could also connect with a backend synced ad account to ssl vpn and could also connect to internal resources over this ssl vpn connection.

    So I see, there is a problem with authentication over remote radius server if I put the radius user group and other accounts in the same ssl vpn config Profile. There is also a problem when I just put the radius user group in the ssl vpn Profile. This users could connect over ssl vpn but couldn't access any internal resource over this connection.
Reply
  • 0
    I've used a remote radius/otp Server to authenticate the ssl vpn user. In the ssl vpn config I've just defined the radius user Group. In the official release this works for me and I could access internal resources. In the beta release I've problems to access internal resources.

    Now, I've tested the new onboard otp solution. With a local account I could connect to ssl vpn with otp and I could connect to internal resources.

    I could also connect with a backend synced ad account to ssl vpn and could also connect to internal resources over this ssl vpn connection.

    So I see, there is a problem with authentication over remote radius server if I put the radius user group and other accounts in the same ssl vpn config Profile. There is also a problem when I just put the radius user group in the ssl vpn Profile. This users could connect over ssl vpn but couldn't access any internal resource over this connection.
Children
Unfiltered HTML