Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 10468 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN and Packet Filter Rules

trialrider
Hi there,

For testing SSL-VPN I created a new user and it's automatically generated X509 Cert. After this I've downloaded the SSL-VPN client via LAN from the portal and installed it a separated client without any connected network.

The SSL connection dont' use autmotically generated packet filter rules. The traget network is set to ANY

In "Remote Access -> Advanced" our DNS were set. During connection to our ASL via modem I could read that the ASL sent the IPs for DNS and WINS.

For testing version 7(.304) I put my computer behind the ASL and don't use any skiplist for it. For the connected SSL-VPN user (from the separated client) no rules were defined. PF-Live Log shows dropped packets for DNS or SAP. But calling the local website on my computer it was successfully shown. After that I put my computer in web proxy's skiplist and tried to call my website again. Like expected Live Log shows dropped packets and so I created a activated rule for HTTP: [ssl-vpn-user] -> HTTP -> [my computer]. Recalling the website show allowed packets but the browser ended up with time out... The same happend for SAP or DNS requests to our servers. SAP ends with time out and no names were resolved (imho).

I don't have any ideas for a solution... Maybe it's a problem with the SSL-VPN client like written in an other thread? Can anybody help me with this problem?
-- 
TIA and regards, Steffen


This thread was automatically locked due to age.
Parents
  • 0
    often discussed if it's needed or not: did you NAT (masq) the ssl-pool against internal net?? (in my experience it's needed!)
    rest have to work; 'user network' - 'service' - 'lan-destination' is the needed pfr - be sure to have no effects by proxying or dns!
    rgds, andre
  • 0 in reply to AMros
    Hi Andre,

    Should I use a masquerading against internal too if the ASL is in bridged mode? Using Astaro's VPN features is new to me. So please excuse my question(s)...

    -- 
    Regards, Steffen
  • 0 in reply to trialrider
    oh, bridge - that's quite different; no sense for masq then i think...
    but the ssl-pool is on a different net, right?!
    rgds, andre
  • 0 in reply to AMros
    VPN SSL Pool is on 10.242.2.0/24.

    Our internal Network is in 10.1./16...

    I asked a tech for his opinion and he said to try it with SNAT using a specified internal ip for the ssl user. But nothing changed. I see allowed packets in live log  but nothings gone back to the client...
    -- 
    Regards, Steffen
  • 0 in reply to trialrider
    if the astaro runs in bridge mode i guess is not the default gateway of the client - but the packets to the 10.242... net will be send there, because is not lan..
    so try to give client or dgw a route where to find the ssl pool
    rgds, andre
  • 0 in reply to trialrider
    I tried again here @work. I created a new user and set him up for SSL-VPN.

    In Network -> DNS I added VPN Pool (SSL) [10.242.20/24] to allowed networks. Our internal network [10.1./16] has it's own DNS, so VPN Pool is the only one. In Forwarders our DNS were set.

    I enabled the user for SSL-VPN and said all networks have to go through my ASL. Under SSL -> Advanced I unchecked multiple connections. In Remote Access -> Advanced I set the ASL as the only DNS, no WINS and no domain.

    Yesterday it doesn't work with SNAT, so I did a "fallback" to masq User Network to Internal.

    After that I checked that the user isn't allowed to use the web proxy and only packet filter rules will work.

    I set one for DNS to our internal DNS because LL has shown dropped packets. Maybe it's related to configuration of the used device (internal network client without LAN but internet by call). After that I created rules for internal web access to on of our server, SAP for testing. All these rules are set for the SSL user only. A Drop-All-Other was added for the whole VPN Pool.

    All these rules were added at top.

    All done with it I connected the client to the internet and activated the vpn client. After establishing a connection I tried all. I did a HTTP request to  internal server's name, using SAP for a little report and tried to connect to websites on the internet. All worked fine. For browsing on websites on the internet I added the user to allowed networks in web proxy. Calling LOTTO ended up in an error message because "Gambling related" not allowed.

    One thing could be better: That every SSL User is getting the same IP every time he's connected to our network. Because searching through log files will be easier because you still know the IP's of every SSL User.

    Or is there a posibility to do that? Maybe with a kind of NAT.
    -- 
    So long, Steffen
  • 0 in reply to trialrider
    you can give the user a fixed remote-ip, if this is an option..
    a.
  • 0 in reply to AMros
    Hi AMros,

    mmh - also if he comes with a dynamic IP? All of our users using internet with different providers and sometimes they're connecting to our network from somewhere and not from home or with her working device and not with her home computer.

    At the moment we have host-to-site vpn. I suggested to set specified rules for every incoming home ip. But that shouldn't work if one user comes through a hotel LAN or via incoming call. So it can only be host-to-site. Thats why I hope for SSL-VPN and spend great expectations for. (Schreibt man's so? *g*)

    I will wait for the tech if he comes for upgrading our ASG220 and helps for the set up our ASG for a good working.
    -- 
    Regards and a nice weekend, Steffen
  • 0 in reply to trialrider
    Steffen, andre is suggesting a fixed IP for the VPN user instead of assigning one from the pool; like 10.1.242.1 in your present environment.

    Cheers - Bob
    PS "Thats why I hope for SSL-VPN and spend great expectations for. (Schreibt man's so? *g*)" - Wie wäre’s auf Deutsch?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to trialrider
    Steffen, andre is suggesting a fixed IP for the VPN user instead of assigning one from the pool; like 10.1.242.1 in your present environment.

    Cheers - Bob
    PS "Thats why I hope for SSL-VPN and spend great expectations for. (Schreibt man's so? *g*)" - Wie wäre’s auf Deutsch?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
Cookie Information Banner