Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1248 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New to Astaro - need help!

Matt_H
I have been playing with the Home version (7.405) for the past week.  I am trying to set up the unit to allow remote control of a single computer behind the Astaro using LogMeIn, but I want to essentially block ALL other traffic to and from the protected computer.

I have managed to get the system running (somewhat) but am confused as to what I am seeing when I set particular Packet Filter rules and examine the live log.  Initially I had a few rules to allow a connect to the LogMeIn servers (there seem to be four different IP ranges for their servers), but I was shocked to see that I could open a web brousing session in the protected computer and surf anywhere I wanted!  I then went to the Web security tab and blocked ALL content except for LogMeIn.

I have managed to get the remote control to work, but am baffled as to why I can't seen the actual packets (secure) that are being exchanged during the remote control session.  Where should I be able to see a live log of the actual remote session?  Can I see the SSL traffic or is that an impossibility with SSL?

I would like to allow the system to negotiate a peer to peer remote control session rather than have to force a session through the LogMeIn gateway each time.

Obviously I don't understand much about the Astaro system and how each of the features works and what the heirarchy is of any filtering and live logs.

Is there a user guide for the Home Version that I have missed somewhere?

Can anyone offer any help on LogMeIn security?  I have done a search on this but the couple of posts I found have not offered much help.

Thanks!
Matt


This thread was automatically locked due to age.
  • 0
    Hi Matt,

    welcome to the freaky orange boxes.....  ;-)

    ok, your questions/answers one by one:
    1. if you leave the packet filter empty (and have web- and mailfilter disabled), no communication from and to your host behind the asg is possible. 
    2. see above. 
    3. if you define a corresponding packet filter rule with "allow" and "log traffic" you see the traffic in the packet filter log
    4. for direct connection, you can create a DNAT rule using the logmein services pointing to your host. 

    There is no specific User Guide for the home version, because it is identical to the licensed software. You can find nearly everything in the Knowledgebase:
    http://astaro.com/kb

    I can try to drive you through this if you can tell me the exact ports (what has to be accessible on the host?).

    Regards,
    Thomas
  • 0 in reply to tbrandl
    Thomas,

    Let me see if I understand what you are saying:

    1.  The Packet filter rules do not affect Web and Mail traffic, which I assume is port specific; ie. port 80 and TCP for web, etc.  So if I "disable" the HTTP Proxy under the HTTP/S tab and similarly do the same for the different mail protocols, then the only traffic that will be allowed will be those exceptions under the pack filter rules.  Is that correct?

    3.  If so, then I should see all traffic that is attempting to be sent under the Packet Filter log, including any port 80 or 443 traffic?  LogMeIn seems to use random higher number ports (UDP) during part of the initial negotiation process, but once the session has started I am unable to see the traffic and what ports are involved.

    4.  How would I create the DNAT rule that you are suggesting.  Exactly what will this do for me?  Right now under Masquerading I have Internal (Network) -> External (WAN), but there are no NAT rules defined.

    Thanks for your quick response!
    Matt
  • 0
    Well, if you are outside the Astaro and able to get in, then you must have some 'Allow' rules in 'Packet Filter'.  The HTTP Proxy doesn't let in traffic that's not a response to a request it has sent.

    If you want to control the computer from afar, why not configure 'Remote Access' so that you can simply RDP to the computer after having established a VPN session with the Astaro?  Actually, this is how I use my iPhone to work on remote systems.

    Cheers - Bob
  • 0
    Bob,

    What I want to control is a Mac that is behind the Astaro.  I am trying to use LogMeIn to do that but am uncertain as to what I can block and what I need to allow to enable peer to peer control.  I am trying to lock this down to the point where only the LogMeIn sessions are allowed.

    Thanks!
    Matt
  • 0
    I don't know how LogMeIn works, but if it's the same concept as Apple Remote Desktop, then the communication is between the computer you're on and the remote computer; no third party or additional website required.

    With a Remote Access VPN, you can access the other computer just as if you were on the same LAN with it.  The advantage is that no ports are opened, no DNAT is required.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob,

    Quoting from the LogMeIn security white paper:

     "To set up a UDP NAT Traversal connection, both the Client and the Host send several encrypted UDP packets to the Gateway. These packets are encrypted using a secret shared by Gateway and the respective peer, communicated over a pre-existing SSL connection; therefore they are impossible to spoof. The Gateway uses these packets to determine the external (Internet) IP addresses of the two entities and it also tries to predict which firewall port will be used for communication when a new UDP packet is sent. It passes its findings down to the peers which will then attempt to set up a direct connection. If the gateway was successful in determining the port order, the connection will succeed and the peers, after verifying each other using another shared secret obtained from the Gateway and establishing an SSL session, will communicate directly.

    If a direct connection is impossible to set up, the peers will connect back to the Gateway over TCP and request that a forwarded, end-to-end encrypted session be used."

    In essence the transaction always uses a Gateway to start the process and then tries to establish a peer to peer connection if possible.

    I don't know if this answers your question or not.  It may work differently than Apple Remote Desktop from a security standpoint.

    Thanks!
    Matt
  • 0
    Still, it sounds like you could have the two computers on the same network, then connect via logmein.  If so, then you can use a VPN instead of a DNAT.  The only problem is to establish the UDP port(s) you need to open to the outside in order to establish contact with the Gateway.  That way, no in-bound ports are opened.

    Cheers - Bob
    PS If both units are Macs, I think Apple Remote Desktop is free; I don't know if there's a PC version.
  • 0
    iirc, Log Me In opens a connection to a central server, and the client connects to the central server and is then redirected or forwarded to the PC. Not terribly secure imho.

    VNC, MS Remote Desktop, etc. are other options.

    Barry
  • 0 in reply to BarryG
    Barry,

    You might have a different opinion on the security of LogMeIn if you read their entire security whitepaper at: 
    https://secure.logmein.com/US/documentation/Security/wp_lmi_security.pdf

    There was considerable thought given to the subject of security and man-in-the-middle attacks, etc.

    Thanks!
    Matt