Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1056 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Filtering packets by Group

Stevey
Hi All

I've got a group of users coming in via OpenVPN who I authenticate using Active Directory.  Hence they are listed as users in Users\Users as remotely authenticated.

I want some of these users to have full LAN access and the rest I just want to restrict to only Outlook RPC over HTTP.

I switched off "Automatic packet filter rules" on remote\SSL\advanced and set up two groups in Users\Groups which were

Full LAN Access
Outlook Only

I added the users to the relevent group as static members then created rules in Network Security\Packet Filter.

eg 

Full LAN Access
Any
Any

I assumed this would let traffic through but the filter rule isn't being used.  If I change the group name and apply the VPN Pool (SSL) instead, it will work fine but I don't get to seperate the two user groups.

Can anyone suggest a better approach to achieve the filtering of users by group?

Thanks in advance [:$]

Cheers
Steve


This thread was automatically locked due to age.
Parents
  • 0
    What version of the Astaro are you running?  What version of Exchange?  What version of Outlook?

    Are you doing something like this?
    Configure RPC over HTTP/S on a Single Server

    Yours - Bob
  • 0 in reply to BAlfson
    Hi Bob

    Thanks for the reply [:)]

    It's an Astaro Security Gateway v 7.104, Outlooks 2003 and 2007 to an exchange on Windows 2k3 SBS.  

    I've tried to seperate the actual RPC over HTTP from the Astaro group problem by just trying to allow any traffic via the group in the packet filter.  So to clarify my question, why is my approach not letting me filter any traffic based on astaro user group membership?  I am using groups in a non intended way?

    Hope this makes sense

    Cheers
    Steve
  • 0 in reply to Stevey
    Since RPC over HTTP allows remote Outlook without a VPN, why not just limit the VPN users to those who are allowed full access?

    And, you don't need separate, static members in the Astaro.  You can use your AD groups and create a backend Astaro Group that's allowed VPN access.

    Cheers - Bob
  • 0 in reply to BAlfson
    For proper backend authentication support you need to update to 7.300.
    Then you can use backend groups (groups in AD) and you don't have to use static user objects.
  • 0 in reply to anonymous_02
    Thanks, Anonymous, after I asked the question, I didn't even read his answer - duh!

    Stevey, the SMTP Proxy in V7.3 is incredibly better than earlier versions of V7.  Email me if you'd like a cheatsheet to facilitate setting up AD with the ASG with the User Portal.  Once you've finished that, you can extend the concespts easily to list one backend group in the SSL VPN and not the other.

    Good luck - Bob
  • 0 in reply to BAlfson
    Thank you Bob and Anonymous!  That's great news.  I'll apply the updates accordingly.

    Thanks again

    Steve
Reply Children
No Data