Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1796 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Filter access on vpn ssl connection

lester
Hi,

I'm search how to limit access on single user conected by ssl vpn ( limit acces to one network ).

My astaro configuration:

AD authentication for vpn users

2 wan :
  #1 for smtp as default gateway
  #2 for incoming ssl vpn connection

1 Lan with multiple network in network>routing and remote acces>ssl>Local networks

I have try in packet filter to create a rule type :

My ADuser > svc any > lan2 "not internal network" > drop > log trafic yes.

But there is no effect, i can to connect to the lan2 by vpn and the live log dont show me allowed or deny trafic on the vpn subnet.
"i have enable log trafic on all rules in packet filter"


Can you help me for how to deny vpn trafic on other network.

For exemple:
3 users:
user1 have acces to 10.0.0.0/8 & 172.16.50.0/24 & 172.16.1.0/24
User2 have acces to 172.16.50.0/24 & 172.16.1.0/24
User3 have only acces to 172.16.50.0/24

My internal network on astaro as: 172.16.50.0/24.
i doesn't other solution to add my multiple network on remote acces>ssl>Local networks but hot to limit user2 and users3 on her subnet?

Very thanks for your answer


This thread was automatically locked due to age.
  • 0
    Are you trying to limit all users of the SSL VPN, or just one particular person?

    Do you already have User1, User2 and User3 in different Active Directory groups?  If so, then you can authenticate them into different backend user groups in the Astaro.

    List your existing packet rules.  You may have one that allows the traffic before the one that would block it.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello,

    Are you trying to limit all users of the SSL VPN, or just one particular person?


    I'm trying to limit one user not all.

    Do you already have User1, User2 and User3 in different Active Directory groups? If so, then you can authenticate them into different backend user groups in the Astaro.


    I have only one group for this user and one backend group, but if necessary it's possible to create some group and/or backend groups.

    List your existing packet rules. You may have one that allows the traffic before the one that would block it.


    sorry, is it not possible at this time, but i don't have any packet rules for the vpn subnet.

    I have packet rules for lan1 and other private network to wan1 and wan1 to lan1.
    I think i have policy routing for smtp traffic only on wan1.


    My topology : 


    1ISP router -- smtp traffic ----|

                                     --Astaro 2 wan---lan1---router---other lan...

    2ISP router --vpn ssl traffic --|
  • 0 in reply to lester
    You were very close.

    I don't know if it should work with remote authentication of the user, but if you only have the one user, change that user to local authentication, then put your blocking packet filter rule first, at the top of the list.

    Source: 'A-user (Network)'
    Service: Any
    Destination: Lan2
    Action: Drop

    Good luck - Bob
  • 0 in reply to BAlfson
    ah ok but it's not possible.
    At this time this solution is on test mode.

    If this entering in production mode i would have approximatly 100 users. it's not possible to create and manage many users on AD and on local.
  • 0 in reply to lester
    OK, now we're learning that there's more to the story!

    It might work to create different users groups based on 'Backend membership' in 'Active Directory' with 'limit to backend group(s) membership'.  Substitute that group for A-user in the above.  I haven't tried that.  Perhaps someone else here has.

    Of cousre, that will apply to the group members no matter where they login from.  If you want different behavior from inside the network, then you'll need filter rules to explicitly alolow that traffic before the block rule.

    Maybe there's a better solution if you could help us understand what traffic you want to control.  The HTTP Proxy solves this problem very elegantly.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok tis so good.

    i have just uncheck "Automatic packet filter rules"


    thank's for your answer
  • 0 in reply to lester
    You're welcome for whatever help I was able to provide.  As I said, I was making suggestions based on my understanding, not my experience, so I'm guessing that you used a little of my thoughts but had to do other things to accomplish what you wanted.  Could you tell us what you are doing that works?

    Thanks - Bob
  • 0 in reply to BAlfson
    yes of course,

    1) I have activate Active directory authentication in User/Authentication/ Active directory and i bind it with AD user with no right and no DN base

    2) I have added some AD groups in Users/group/add new group :
    - backend membership
    - Active directory
    - check box limit to backend group membership

    3) In remote access i have added some object has AD groups and all networks are routing with the astaro needed for my users and be shure uncheck the box in /remote acces/ssl/advenced " Automatic packet filter rules "

    4) In /network security/packet filter i have create one rule with IP SSL vpn pool services all destination all > Deny
    and u have create some rules with:
    My AD groups, specific services, specific destination on my primary network and or other network routed by my astaro.

    ------------------------------------------------

    My problem was : i haven't see the specific check box "Automatic packet filter rules" if this are checked astaro create automatic rules and it's overwrite all rules define on packet filter.
    If you uncheck this checkbox you need to create some rules in packet filter for accept or deny traffic ^^

    ------------------------------------------------

    Thank's for your help.

    There is one problem :

    I can't see how many users are connected [:(]
    Online users stay at 0, i have see in the forum that is a bug with a version 7.302 it's very not funny ...

    i'm waiting an update to fix this, it's very important to know who is connected


    bye ++
  • 0 in reply to lester
    Thank you, lester.  I thought it would work like that.

    The main page for 'Remote Access' lists active connections by name and IP.  If you want to see who was connected in the past, look in the logs for the file and date you want then search on 'name =' or on the name of the specific person you're interested in tracking.

    Cheers - Bob