Access WebAdmin remotely

RTFM -> p.26ff  [:)]

Management/WebAdmin Settings/Access Control/Allowed Networks

Claus, it sounds like nloding wants to have a VPN connection that only tunnels to the EXT interface.

Nloding,
You could set up a tunnel, with the only PF rule allowing access to (any) one of the ASL interfaces.

Barry

I think Claus has it ... I'll try tonight and see what happens.

Well, that didn't do it.  I have for Allowed Networks: ANY.

What I want to be able to do is ... say I'm at a coffee shop.  I want to go to my browser, type https://MY.WAN.IP.ADD:4444/ or whatever and hit the WebAdmin interface.  Don't need access to the LAN ... just the WebAdmin interface.

I would not open my Astaro Interface to the outside world! Use a vpn and then connect from the inside for security sake...

nloding, that should have worked.

Is it possible that the location you were at wasn't allowing traffic on port 4444?

Barry

Just to make certain nloding. The Astaro is your perimeter device, right? You don't have any sort of other firewall between it and your WAN?
 
I believe that the Astaro SSL VPN is based on the OPENVPN project. There's a portable version of the client at http://sourceforge.net/projects/ovpnp/ . If the Astaro VPN config files will work with it, this may be the solution you want so you can get to your webadmin interface from public computers (shudder) by running it from a USB key.

It's possible that 4444 was blocked, but I don't think so.  Is there a way to change that port?

Also, yes, it is a perimeter device ... Cable modem > eth0 on Astaro box ... eth1 > 16-port switch for LAN.

Yep, the WebAdmin port is easy to change.  Management>WebAdmin Settings>General Tab>WebAdmin TCP Port.  
 
OK, the reason that I asked is that alot of DSL providers (not sure about cable) give their customers a combo modem/router/cheap firewall box.

Yep, the WebAdmin port is easy to change.  Management>WebAdmin Settings>General Tab>WebAdmin TCP Port.  
 
OK, the reason that I asked is that alot of DSL providers (not sure about cable) give their customers a combo modem/router/cheap firewall box.

I tried accessing it from several more ISPs, and it failed.  I will change the port and try again.  Is there anything that needs to be set except:

Management/WebAdmin Settings/Access Control/Allowed Networks > ANY

Shouldn't be. Maybe it just needs to be more specific than any. I've noticed some odd things with default packet filter rules and any.
 
Are you even seeing a connection attempt in any of the logs when you try to connect to WebAdmin externally? I've got log access traffic checked, but am not certain in which log file this info gets stored. Maybe download some of the logs just after you've tried a connection, then grep through them looking for the IP you tried connecting from. If you use windows, there's a nice free version called baregrep. www.baremetalsoft.com/baregrep . 
 
As a test, create a new host definition with your home IP Address. I realize that you probably have a dynamic address, but it shouldn't change too often. Then add that host to the allowed networks for WebAdmin. This worked for me the other day when I needed to allow astaro support remote access to my system (although I also had to open up ports 443 and 4444 when the source was astaro supports IP and the destination was the astaro box in my perimeter firewall).
 
Another possible thought. Is the machine your trying to connect from a Vista box? If so, Vista has an advanced firewall option that blocks outgoing connection attempts. If this is what's going on, you may need to create a rule to allow port 4444 outbound.
 
Edit: I RTFM. If you check the box for logging webadmin access traffic, it puts the data into the packetfilter log. [:)]  Now the live log is a bit different from the downloadable one.  In the live log it will actually be listed as WebAdmin access.  In the "historical" log, it will look like the following:
 
[SIZE=2]2007:07:12-17:24:16 (none) ulogd[2484]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="60006" initf="br0" dstmac="00:00:00:00:00:00" srcmac="00:00:00:00:00:00" srcip="111.111.111.111" dstip="111.111.111.111" proto="6" length="64" tos="0x00" prec="0x00" ttl="113" srcport="21524" dstport="4444" tcpflags="SYN"
 
MAC and IP address have been obfuscated to protect the guilty.  Notice the dstport="4444".  If you can't remember your dynamic home IP, this would be an OK search parameter to find attempted WebAdmin accesses.  For action mine says accept, which is good.  If yours say denied, then it means there is something in your Astaro config holding things up.  If you don't have anything inbound for port 4444, it means that your connection attempt is being blocked before it even gets to Astaro. 
 
Good luck.
[/SIZE]

I haven't dug through the logs yet.  This will be my project for the rest of the week.  Thanks for hints, I'll compile info and see if I can't get 'er workin'!

It works now.  I changed the port, and it works just fine.  Thank you for all the help.

Outstanding, congrats.  I guess your ISP was blocking it.  
 
The only thing that I know my home ISP blocks is port 25 so people can't run their own email servers.
 
We once had a manager here at work who could not get IPSEC VPN functioning so she could work from home.  Had her upgrade firmware on her StinkSys, trolled various message boards, anything I could think of.  Finally wound up being that due to her living quite far into the boonies, her only means of getting better than dialup was satellite internet.  Most, if not all, satellite providers heavily cap how much traffic is allowed and a ton of different service ports.  This particular provider even spelled out many of the disallowed functions (including IPSEC VPN) in their customer contract.  She kept hounding me for awhile to fix it.  Finally I told her that I discovered the perfect solution:  Sell your house and move somewhere with cable or DSL.  [:)]