Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 3091 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strong Authentication with SSL-VPN

smaertchik
I'm currently using AS 220 SG with version 6 software and I would like to set SSL-VPN connection with Strong authentication.

I did some tests with V7 evaluation software appliance and I found the SSL-VPN option very nice, but I don't see any option to add strong authentication ( dual-factor, One time password , RSA secureID or any ) .

Does anyone know a way to do it ???

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    For one-time passwords, you can use the same methods as for the other remote access variants (user objects which are remotely authenticated). For example, with RSA SecurID, configure a RADIUS server in the global user authentication settings and create user objects with Authentication=remote. Drag these user objects to the SSL VPN config, and you should be ready to use OTP. This should prevent a stranger from using the VPN.

    If you want to additionally put the certificate/key of the user on a USB token, you would need more effort and some expertise. Documentation about this can be found here:
    http://openvpn.net/howto.html#pkcs11

    Stephan
Reply
  • 0
    For one-time passwords, you can use the same methods as for the other remote access variants (user objects which are remotely authenticated). For example, with RSA SecurID, configure a RADIUS server in the global user authentication settings and create user objects with Authentication=remote. Drag these user objects to the SSL VPN config, and you should be ready to use OTP. This should prevent a stranger from using the VPN.

    If you want to additionally put the certificate/key of the user on a USB token, you would need more effort and some expertise. Documentation about this can be found here:
    http://openvpn.net/howto.html#pkcs11

    Stephan
Children
  • 0 in reply to Stephan_Scholz
    Ok, this looks good.
    If for example, I use a RSA SecurID ACE server as a backend authentication server, does the Astaro Portal Authentication page shows the fields for RSA token input ?
  • 0 in reply to smaertchik
    You need to run a RADIUS service on the RSA server (SecurID supports RADIUS PAP), and configure the ASG to be a RADIUS client. The user can then enter the OTP in the password field - both in the user portal or the VPN client. Just make sure that the user objects with authentication=remote are created on the ASG and that they are added to the access lists for the web portal and remote access.

    Stephan
  • 0 in reply to Stephan_Scholz
    Ok, it works now. I use the RSA Radius server + the SecurID server for remote user ssl-vpn authentication.
    I'm just missing Astaro web portal special fields for RSA token management tasks like new pin set up.
    Do you know if this feature might be available in the future ?

    Thanks
  • 0 in reply to smaertchik
    I'll definitely note this down as a feature request :-)

    Stephan
  • 0 in reply to Stephan_Scholz
    SSL-VPN is a good and simple way to access local network from remote site, but it requires the Astaro SSL-VPN small client. This method is very effective for non-http ressources like Terminal Services and File services, but an HTTP reverse proxy with authentication would be better for all internal HTTP services.
    I cannot find HTTP-Reverse proxy on Astaro products , is there a way to do that ? 

    Thanks

    Sylvain
  • 0 in reply to smaertchik
    That's the classic web-based SSL VPN you are describing. With this approach you cannot use local applications nor get full network access. We decided that we would go for the "full network access" approach while providing a "one click installation". Currently there is no reverse proxy functionality as you describe it in V7.

    Stephan
  • 0 in reply to Stephan_Scholz
    That make sense for me.

    Thanks a lot for your answers.

    Sylvain
Cookie Information Banner