Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1645 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Filters/rules based on Backend membership ?

emerson8
Well, the anwer's allready been received through Astaro support, but Im not giving up....yet......


Looking through webadmin, one can create packet-rules which Source IS a group based on backend-membership (like AD or Edir). But according to support, that's not going to work. 

Since standard practice is to user DHCP for the clients, it's difficult to solve IF we need a rule saying "users/group=*** be able to do this/that" but not the other users. Only way to achieve this is with static IP's/Groups.

Shouldn't this be something for an enhancement request ?
Since backend-membership actually DO work for Surfprotection, the majority of work has allready been done.... And, it IS in fact possible to create the rule based on the exemple above allready today, though it's stated not to work.


This thread was automatically locked due to age.
  • 0
    i have the same problem.

    I use backend-membership groups (from eDirectory) for SSL Remote Access . I put these group in the SSL config and enable "Automatic raket filter rules". It works - up to here ok.

    My problem are the allowed networks. I have differend users ( Admins, Developer, Sales,.. ) for differend Networks. I can create only one config ( all networks must here added ) for all SSL VPN users.
    From Astaro Support: Disable "Automatic paket filter rule" and create differend paket filter rules in Network Security -> Paket Filter.

    We configure user rights ONLY on one place -> eDirectory (for all systems).  I create also new user groups in eDirectory, create backend-membership groups and create the paket filter - not work. But i create a paket filter for a synced eDir user - it works.

    I will not create one paket filter for every SSL VPN user. This is a BUG not enhancement request!
  • 0
    Step 2:
    Now i create an local group with synced eDir user as member. The paket filter doesn't work.

    Other effect occour by the internal DNS server ( Remote Access -> Advanced ). They are in one local network and sould be used from all SSL VPN users. You must create new separate network groups with destination networks and DNS server hosts for each SSL VPN user group.

    Reason: Backend-membership and SSL VPN with litle bit more as basic not work.
  • 0
    Yes, for routing and packet filter purposes, the Astaro only knows the IP of a user if the user is logged into WebAdmin or is connected via VPN.

    Schoerch, the solution to your problem is to create different backend groups for Admins, Sales, etc.  This will result in the auto-creation of network definitions like "Sales (User Group Network)" and these can be used in the way you want.

    Cheers - Bob