Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 770 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN: Restricting Traffic Between Clients?

Phunky Monkey
I'm setting up an SSL VPN headend using ASG, with the intention of having mobile clients at our customer sites so that I may access parts of their networks remotely. I like SSL VPN for this because it's 99.999% of the time already allowed out of my customers' networks, and works pretty much flawlessly through their firewalls (where PPTP and IPSEC sometimes run in to issues).

My current issue with this system is that SSL clients can talk to each other. Because each client will be on a different customer's network, I don't want that. I've tried using the packet filter to restrict crosstalk, but to no avail. In fact, traffic between SSL clients doesn't even seem to get logged in the PF live log. All traffic between clients must go up the tunnel, across the firewall, then back down another tunnel, so I would think that it should cross the packet filter... but it doesn't seem to.

Is this a bug, a feature, an oversight, or my mistake?


This thread was automatically locked due to age.
Parents
  • 0
    After contacting support, I was enlightened to the "auto-packetfilter" feature, which I had somehow missed before. Honestly, it's just about the only feature I'm displeased with in ASG. There's not a terribly huge amount of documentation (plus the knowledgebase wasn't working for me when I was troubleshooting this) on the feature's specifics, and it evades the very tools in ASG which should allow us to see what's going on. In any case, with auto-packetfilter turned off (in the advanced tab under the SSL VPN config), no traffic flows unless specifically allowed for in the ruleset. This solves my issue, and hopefully this will help anyone else running into the same problem as I was.
  • 0 in reply to Phunky Monkey
    We don't recommend use of any auto rules.  I prefer to see explicit rules and the order of their consideration.  It's enough to have to remember the "auto" rules inherent in the HTTP and SMTP proxies.  I suspect the "auto-packetfilter" feature is one that was added because some competitor offers a similar feature, and the marketing team asked to have it.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to Phunky Monkey
    We don't recommend use of any auto rules.  I prefer to see explicit rules and the order of their consideration.  It's enough to have to remember the "auto" rules inherent in the HTTP and SMTP proxies.  I suspect the "auto-packetfilter" feature is one that was added because some competitor offers a similar feature, and the marketing team asked to have it.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Cookie Information Banner