SSL connection control

It has been requested, but we do not currently have the ability to terminate a single VPN connection.

I have (along with others I'm sure) have submitted feature requests to have timeouts and the ability to down individual VPN users (SSL and IPSEC) to Astaro... right now there's not a real way to deal with it.  I'm sure they have it in the queue of items they are looking at adding at some point in the future.

I have (along with others I'm sure) have submitted feature requests to have timeouts and the ability to down individual VPN users (SSL and IPSEC) to Astaro... right now there's not a real way to deal with it.  I'm sure they have it in the queue of items they are looking at adding at some point in the future.

Thanks for the info.  I've got to say, this isn't a "nice to have", it's a must for any business implementation.  With little effort, a just fired ex-employee could cause extreme havok before the last to know sys admin would have a chance to disable accounts.

Scott... in your scenario, one could disable the user's account (whether local to the Astaro or in AD, if you're using AD authentication) and delete their cert out of the Astaro, stop the SSL VPN (yes, it would drop all current connections), then restart the SSL VPN.  Yes, it would cause a momentary disruption for legit users that are remoting in, but it would be short lived.  I do agree that the individual connection control should be implemented as well.

Thanks Bruce, yeah I knew that.  Another measure I've thought of is to throw up a quick packet filter blocking all traffic for that single VPN host, which would alleviate having to drop other VPN connections.

Scott, is there traffic to the SSL VPN client you could block that would cause it to disconnect?  (I need to learn more about SSL VPNs.)

Not so much as you describe, but I could always force a reboot on the specific remote system through various tools (e.g. shutdown -m  -r -f -t 01).
 
I suppose I could also try an ipconfig /release on the VPN adapter using P***ec.  I'd have to play with and test this one.
 
Still would be nice to have this functionality available from the Astaro "VPN server".  [:)]

First off, the IPCONFIG thing works, just tested it.
 
[FONT=Arial][SIZE=2]The client this is done to won't even have any indication that anything is amiss beyond VPN traffic stopping.  The OpenVPN GUI will show no error, believe itself to still be in a connected state, and still show a VPN network IP address when hovered over.  In reality though, when the ipconfig /release  command is given, the VPN network IP address is stripped and windows will automatically assign an APIPA address 169.254.*.*.  [/SIZE][/FONT]
[FONT=Arial][SIZE=2][/SIZE][/FONT] 
[FONT=Arial][SIZE=2]In my environment this works because all of our remote workers machines are part of our domain, so I have administrative rights over them.  This solution wouldn't work if a "road warrior" was using their own personal machine to connect back to the office with.[/SIZE][/FONT]
[FONT=Arial][/FONT] 
[FONT=Arial]More importantly, for any Astaro employee who may take a look at this thread:  OpenVPN does have a built-in facility to disconnect a single tunnel at will from the server (Astaro in this case).  There's a management interface.  I was reading about it in the HOW TO documentation at the OpenVPN web site.  All Astaro would need to do is 1)  Turn on the management interface facility in the OpenVPN config file on the Astaro machine.  2)  Give a link in the WebAdmin GUI to disconnect a VPN Client that would issue the appropriate command to the OVPN management interface (which is by IPAddy and port).  No exaggeration, one of the Astaro devs could probably add the necessary code in less than 10 minutes.[/FONT]

In the OVPN config file on the astaro box, a line like: 
 
management localhost 7505
 
would need to be added.
 
Then one of two commands could be issued from a link in the WebAdmin GUI:
 
kill cn or kill IP[:P]ort
 
Edit - darned smileys.  The second command choice is kill IP colon port