SSL-VPN and Packet Filter Rules

often discussed if it's needed or not: did you NAT (masq) the ssl-pool against internal net?? (in my experience it's needed!)
rest have to work; 'user network' - 'service' - 'lan-destination' is the needed pfr - be sure to have no effects by proxying or dns!
rgds, andre

Hi Andre,

Should I use a masquerading against internal too if the ASL is in bridged mode? Using Astaro's VPN features is new to me. So please excuse my question(s)...

-- 
Regards, Steffen

oh, bridge - that's quite different; no sense for masq then i think...
but the ssl-pool is on a different net, right?!
rgds, andre

VPN SSL Pool is on 10.242.2.0/24.

Our internal Network is in 10.1./16...

I asked a tech for his opinion and he said to try it with SNAT using a specified internal ip for the ssl user. But nothing changed. I see allowed packets in live log  but nothings gone back to the client...
-- 
Regards, Steffen

if the astaro runs in bridge mode i guess is not the default gateway of the client - but the packets to the 10.242... net will be send there, because is not lan..
so try to give client or dgw a route where to find the ssl pool
rgds, andre

I tried again here @work. I created a new user and set him up for SSL-VPN.

In Network -> DNS I added VPN Pool (SSL) [10.242.20/24] to allowed networks. Our internal network [10.1./16] has it's own DNS, so VPN Pool is the only one. In Forwarders our DNS were set.

I enabled the user for SSL-VPN and said all networks have to go through my ASL. Under SSL -> Advanced I unchecked multiple connections. In Remote Access -> Advanced I set the ASL as the only DNS, no WINS and no domain.

Yesterday it doesn't work with SNAT, so I did a "fallback" to masq User Network to Internal.

After that I checked that the user isn't allowed to use the web proxy and only packet filter rules will work.

I set one for DNS to our internal DNS because LL has shown dropped packets. Maybe it's related to configuration of the used device (internal network client without LAN but internet by call). After that I created rules for internal web access to on of our server, SAP for testing. All these rules are set for the SSL user only. A Drop-All-Other was added for the whole VPN Pool.

All these rules were added at top.

All done with it I connected the client to the internet and activated the vpn client. After establishing a connection I tried all. I did a HTTP request to  internal server's name, using SAP for a little report and tried to connect to websites on the internet. All worked fine. For browsing on websites on the internet I added the user to allowed networks in web proxy. Calling LOTTO ended up in an error message because "Gambling related" not allowed.

One thing could be better: That every SSL User is getting the same IP every time he's connected to our network. Because searching through log files will be easier because you still know the IP's of every SSL User.

Or is there a posibility to do that? Maybe with a kind of NAT.
-- 
So long, Steffen

you can give the user a fixed remote-ip, if this is an option..
a.

you can give the user a fixed remote-ip, if this is an option..
a.

Hi AMros,

mmh - also if he comes with a dynamic IP? All of our users using internet with different providers and sometimes they're connecting to our network from somewhere and not from home or with her working device and not with her home computer.

At the moment we have host-to-site vpn. I suggested to set specified rules for every incoming home ip. But that shouldn't work if one user comes through a hotel LAN or via incoming call. So it can only be host-to-site. Thats why I hope for SSL-VPN and spend great expectations for. (Schreibt man's so? *g*)

I will wait for the tech if he comes for upgrading our ASG220 and helps for the set up our ASG for a good working.
-- 
Regards and a nice weekend, Steffen

Steffen, andre is suggesting a fixed IP for the VPN user instead of assigning one from the pool; like 10.1.242.1 in your present environment.

Cheers - Bob
PS "Thats why I hope for SSL-VPN and spend great expectations for. (Schreibt man's so? *g*)" - Wie wäre’s auf Deutsch?

Hi bob,

I'll try this.
-- 
Regards, Steffen

P.S.: Meinst du den Satz auf deutsch oder einfach in deutsch zu schreiben? Dafür ist ja aber das dt. Forum da...

...und wenn du nicht weisst, wie man's schreibt, lass uns einfach in's deutsche forum wechseln oder schick 'ne pn :-)

a.

[OT]
Und wann soll ich mein geschriebenes bzw. gesprochenes Englisch aufmöbeln, wenn nicht (hier) bei der Klärung oder Schilderung von Problemen? 
[/OT]

Helau, Steffen

you can give the user a fixed remote-ip, if this is an option..
a.

Hi Andre,

ich habe es jetzt mal mit einer festen IP probiert. Habe dazu einen neuen User angelegt (mit dem ich auch mal von zu Hause aus testen kann) und habe diesem eine festen IP (10.1.250.1) verpasst.

Ein Masquerading habe ich erstmal nicht gemacht... SSL-Files runter geladen und auf Einwahl-Notebook installiert. Verbuindungsaufbau hat funktioniert, aber weder im Log des VPN-Clients noch im Paketfilterlog fand ich die fest vergebene IP wieder.

SAP usw. hat natürlich erstmal nicht funktioniret. Habe das Masquerading für den SSL-User nachgeholt und dann hat alles wieder so geklappt, wie beim letzten Mal.

Es ist ja, wie schon weiter oben/vorn geschrieben. Die User kommen ja eben nicht mit festen/statischen IPs an.
-- 
Trotzdem Danke, Steffen

When you tried with 10.1.250.1, did you add your internal network to 'Network >> DNS'?

In the Packet Filter log, you will find only the blocked packets and packets passed by a rule with the 'Log traffic' box checked.

You are correct that one cannot assign fixed IPs to SSL-VPN users. According to the V7.3 Users' Manual:

The static remote access IP can only be used for remote access through PPTP, L2TP, and IPSec. It cannot be used, however, for remote access through SSL.

The DNS/WINS settings on the 'Remote Access >> Advanced' don't apply to the SSL-VPN either - only to PPTP and L2TP over IPSec.

We normally recommend and configure L2TP over IPSec as it is more secure than SSL.  The standard Windows VPN client works well with it.  It also works great with the iPhone;-)

Cheers - Bob

Hi Bob,

no, internal network isn't added to DNS because we have separated name servers. But I added the User Network to DNS.

DNS will work with SSL VPN too. I set DNS #1 to my ASL and all requests going there. If you check the client log you can see that the DNS, WINS and domain were sent to the client.

Please explain why L2TP over IPSec is more secure than SSL VPN. Becasue it's using IPSec mechanism? I think SSL can be a good alternative too. I need to route the port for HTTPS only. For every user I define "encrypted" usernames and comlex passwords. Name and password will be set to a new one after a defined time... So if you want to come in you need the encrypted username, password and the right certificates... But I'm not an expert in hacking networks, maybe my opinion will be wrong. I hope you can understand my thoughts.
-- 
Regards, Steffen
ASL with v7.304

Steffen, I used to work with one of the guys who designed the (CompTIA) Security+ exam; he made the comment to me comparing the security and usability of the various Astaro choices several years ago when the current version was V5.  I also am not an expert on hacking, and, compared to many here, not an expert in networking.

From what I've seen over the last two months I've participated actively in these forums, there are two reasons to pick SSL-VPN instead of L2TP Over IPSec with the Astaro:
[LIST=1]

• You use Active Directory and have many remote users.
  
• Remote users only need to access your web servers.
  

[/LIST]I came across this article in NetworkWorld:Choosing the Right Remote Access VPN: 9 Important Questions.

But, that's not helping you to solve your SSL question.  Do I understand correctly that your only problem now is your concern about tying each user to the same SSL-VPN Pool IP each time.  Have you tried establishing a second user to see if that's not the default?  Whether I VPN into our Astaro from my laptop or my iPhone, I always get x.x.x.66 assigned by our internal DHCP when I login (using any DHCP server is another feature of the Astaro L2TP-over-IPSec VPN).

Cheers - Bob

Hello All,

As far I know, it isn't possible to give a fixed IP to a SSL VPN user. ( Given to me by tech support)

Regards.