Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3487 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature Request: SSL VPN w/ different split tunnel rules

-tim-
Hi,

in current v7 I can set split tunneling by selecting just some networks I'd like to send through the tunnel or I can choose Any to completely disable split tunneling and send everything the the ASG.
What I can't do at the moment is to define different settings per user/group which is the only reason why I can't completely switch from IPsec to SSL VPN in my case.

That feature would make SSL VPN perfect for me.

-tim-


This thread was automatically locked due to age.
Parents
  • 0
    What exactly are your requirements? Do you want to give different access rights to invidual users? In this case can simply use "Any" as local network, disable the auto packet filter option and define packet filter rules on a per-user basis.

    Stephan
  • 0 in reply to Stephan_Scholz
    Applying packet filters works fine but that's not what I'm asking here.
    My request is about split tunnel configuration on a per user/group basis.

    If you select Any for the local network in the VPN configuration it means that all packets are routed into the tunnel, disabling connectivity to any other network. That's what I want for most users to avoid having them in two different networks. That's split tunneling disabled.

    When I just select lets say the internal network only packets for that network are routed into the tunnel on the client side and users can work with their normal default gateway for everything else, bypassing the tunnel. That's split tunneling I want for selected users.

    Using the ASC IPsec client I can define that locally in the client configuration. That does provide me the feature I need but it's not centrally controlled and managed.

    The SSL VPN client gets this setting pushed so I do have this central managemet for that part which is great, however currently it's one global setting for everyone. I'm not very familiar with OpenVPN but afaik I can't override this pushed setting with custom statements in the OpenVPN client configuration. I might be wrong on this which would be a workaround, still it's not centrally managed then.

    -tim-
Reply
  • 0 in reply to Stephan_Scholz
    Applying packet filters works fine but that's not what I'm asking here.
    My request is about split tunnel configuration on a per user/group basis.

    If you select Any for the local network in the VPN configuration it means that all packets are routed into the tunnel, disabling connectivity to any other network. That's what I want for most users to avoid having them in two different networks. That's split tunneling disabled.

    When I just select lets say the internal network only packets for that network are routed into the tunnel on the client side and users can work with their normal default gateway for everything else, bypassing the tunnel. That's split tunneling I want for selected users.

    Using the ASC IPsec client I can define that locally in the client configuration. That does provide me the feature I need but it's not centrally controlled and managed.

    The SSL VPN client gets this setting pushed so I do have this central managemet for that part which is great, however currently it's one global setting for everyone. I'm not very familiar with OpenVPN but afaik I can't override this pushed setting with custom statements in the OpenVPN client configuration. I might be wrong on this which would be a workaround, still it's not centrally managed then.

    -tim-
Children
  • 0 in reply to -tim-
    Yes, you can change the setting in the client. Edit the config file (\Program files\Astaro\Astaro SSL Client\config\*.ovpn) and add the following two lines:

    route-nopull
    route 192.168.1.0 255.255.255.0

    The first line prevents the client from accepting server-side routes. The second line adds the network which you want to add instead. Use multiple "route" lines to add more networks. The DNS/WINS/Domain settings are still distributed though.

    Group-based policies may be introduced at a later point. Meanwhile this should do the trick.

    Stephan
  • 0 in reply to Stephan_Scholz
    thanks, that helps a lot!

    Another problem I have related to users and groups:
    AD integration is enabled and I've created a group "SSL VPN Users" on ASG and linked it to an AD group. That ASG group is set to be allowed for SSL VPN.
    VPN users are member of the AD group and not locally defined at all in the first place.
    Authentication for the end-user portal works fine that way, the user object is locally created on ASG and the user detail information is pulled. However, the user is not allowed to download the SSL VPN package. It seems that the SSL VPN permissions function doesn't pull the user list from AD.
    I have to manually permit the locally created user objects in my SSL VPN settings to get it working.

    Is this a known limitation or should it work that way?

    -tim-
  • 0 in reply to -tim-
    This is a current limitation in dynamic group handling. The user portal only holds an installation package only if the user object is added to the SSL VPN config. You can create the user object in advance (set authentication=remote) and put it into the SSL VPN config (this way the user does not have to log into the user portal first). This limitation is going to be addressed in an Up2Date package, meanwhile this is the way to go.

    Stephan
Cookie Information Banner