Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 10468 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN and Packet Filter Rules

trialrider
Hi there,

For testing SSL-VPN I created a new user and it's automatically generated X509 Cert. After this I've downloaded the SSL-VPN client via LAN from the portal and installed it a separated client without any connected network.

The SSL connection dont' use autmotically generated packet filter rules. The traget network is set to ANY

In "Remote Access -> Advanced" our DNS were set. During connection to our ASL via modem I could read that the ASL sent the IPs for DNS and WINS.

For testing version 7(.304) I put my computer behind the ASL and don't use any skiplist for it. For the connected SSL-VPN user (from the separated client) no rules were defined. PF-Live Log shows dropped packets for DNS or SAP. But calling the local website on my computer it was successfully shown. After that I put my computer in web proxy's skiplist and tried to call my website again. Like expected Live Log shows dropped packets and so I created a activated rule for HTTP: [ssl-vpn-user] -> HTTP -> [my computer]. Recalling the website show allowed packets but the browser ended up with time out... The same happend for SAP or DNS requests to our servers. SAP ends with time out and no names were resolved (imho).

I don't have any ideas for a solution... Maybe it's a problem with the SSL-VPN client like written in an other thread? Can anybody help me with this problem?
-- 
TIA and regards, Steffen


This thread was automatically locked due to age.
  • 0 in reply to BAlfson

    ...und wenn du nicht weisst, wie man's schreibt, lass uns einfach in's deutsche forum wechseln oder schick 'ne pn :-)

    a.
  • 0 in reply to AMros
    [OT]
    Und wann soll ich mein geschriebenes bzw. gesprochenes Englisch aufmöbeln, wenn nicht (hier) bei der Klärung oder Schilderung von Problemen? 
    [/OT]

    Helau, Steffen
  • 0 in reply to AMros
    you can give the user a fixed remote-ip, if this is an option..
    a.


    Hi Andre,

    ich habe es jetzt mal mit einer festen IP probiert. Habe dazu einen neuen User angelegt (mit dem ich auch mal von zu Hause aus testen kann) und habe diesem eine festen IP (10.1.250.1) verpasst.

    Ein Masquerading habe ich erstmal nicht gemacht... SSL-Files runter geladen und auf Einwahl-Notebook installiert. Verbuindungsaufbau hat funktioniert, aber weder im Log des VPN-Clients noch im Paketfilterlog fand ich die fest vergebene IP wieder.

    SAP usw. hat natürlich erstmal nicht funktioniret. Habe das Masquerading für den SSL-User nachgeholt und dann hat alles wieder so geklappt, wie beim letzten Mal.

    Es ist ja, wie schon weiter oben/vorn geschrieben. Die User kommen ja eben nicht mit festen/statischen IPs an.
    -- 
    Trotzdem Danke, Steffen
  • 0 in reply to trialrider
    When you tried with 10.1.250.1, did you add your internal network to 'Network >> DNS'?

    In the Packet Filter log, you will find only the blocked packets and packets passed by a rule with the 'Log traffic' box checked.

    You are correct that one cannot assign fixed IPs to SSL-VPN users. According to the V7.3 Users' Manual:
    The static remote access IP can only be used for remote access through PPTP, L2TP, and IPSec. It cannot be used, however, for remote access through SSL.


    The DNS/WINS settings on the 'Remote Access >> Advanced' don't apply to the SSL-VPN either - only to PPTP and L2TP over IPSec.

    We normally recommend and configure L2TP over IPSec as it is more secure than SSL.  The standard Windows VPN client works well with it.  It also works great with the iPhone;-)

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    no, internal network isn't added to DNS because we have separated name servers. But I added the User Network to DNS.

    DNS will work with SSL VPN too. I set DNS #1 to my ASL and all requests going there. If you check the client log you can see that the DNS, WINS and domain were sent to the client.

    Please explain why L2TP over IPSec is more secure than SSL VPN. Becasue it's using IPSec mechanism? I think SSL can be a good alternative too. I need to route the port for HTTPS only. For every user I define "encrypted" usernames and comlex passwords. Name and password will be set to a new one after a defined time... So if you want to come in you need the encrypted username, password and the right certificates... But I'm not an expert in hacking networks, maybe my opinion will be wrong. I hope you can understand my thoughts.
    -- 
    Regards, Steffen
    ASL with v7.304
  • 0 in reply to trialrider
    Steffen, I used to work with one of the guys who designed the (CompTIA) Security+ exam; he made the comment to me comparing the security and usability of the various Astaro choices several years ago when the current version was V5.  I also am not an expert on hacking, and, compared to many here, not an expert in networking.

    From what I've seen over the last two months I've participated actively in these forums, there are two reasons to pick SSL-VPN instead of L2TP Over IPSec with the Astaro:
    [LIST=1]
    • You use Active Directory and have many remote users.
    • Remote users only need to access your web servers.
    [/LIST]I came across this article in NetworkWorld:Choosing the Right Remote Access VPN: 9 Important Questions.

    But, that's not helping you to solve your SSL question.  Do I understand correctly that your only problem now is your concern about tying each user to the same SSL-VPN Pool IP each time.  Have you tried establishing a second user to see if that's not the default?  Whether I VPN into our Astaro from my laptop or my iPhone, I always get x.x.x.66 assigned by our internal DHCP when I login (using any DHCP server is another feature of the Astaro L2TP-over-IPSec VPN).

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello All,

    As far I know, it isn't possible to give a fixed IP to a SSL VPN user. ( Given to me by tech support)

    Regards.
Cookie Information Banner