Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1436 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ssl packet filter trouble.

titusi
Hello,

I have a trouble with ssl remote access.

I want give different acces to different users (teleworkwers) throught SSL.

When i disable "automatic packet filters" and set new rules for remote workers in packet filter, Astaro (7.306) continue using "automatic packet filter" and it not use the new rules.

For instance , in users i have user 1 and user2 (local authentication) , in allowed rules i set LAN1,  i uncheck automatic packet filters.

I have two servers (server1 and server2) in LAN1.

I set in packet filter   user1->any->server1   and  user2->any>server2.

however, both of them can acces both servers(ICMP) and i don´t know if this is the right way to do this, or this a bug.

thanks,


This thread was automatically locked due to age.
Parents
  • 0
    Try with these two packet filter rules at the top of the list.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    the behavior is the same, and if i don´t set any rule, the users still can access to the servers in LAN1. It looks like the packet filter from "automatic packet filter" is in the config yet.

    Thanks
  • 0 in reply to titusi
    Is each user coming from a fixed location, or are these Road Warriors?

    Do you want these users to access ONLY one server or the other, or should they have access to everything EXCEPT one server or the other?

    Is this a load-balancing issue?

    Are you concerned about having an encrypted tunnel, or do you just want to provide access to these two people?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    Sorry for delay,

    Is each user coming from a fixed location, or are these Road Warriors?

    They are road warriors.

    Do you want these users to access ONLY one server or the other, or should they have access to everything EXCEPT one server or the other?

    There multiple configuration, one user to one server, others user to different servers, other to complete LAN...

    Is this a load-balancing issue?

    No.

    Are you concerned about having an encrypted tunnel, or do you just want to provide access to these two people? 

    Yes i want to do this trought ssl tunnel, i don´t want DNAT or similar.

    Regards,
  • 0 in reply to titusi
    Set up a packet filter rule at the top with 'Username (User Network)' : 'Any' -> 'Internal (Network)' and log it.

    Now, you can confirm that the automatic packet filter rule is inactive because you will see traffic from Username in the log.  If this is the case, you have another rule that is allowing all the traffic.

    If not, then reboot the Astaro and see if that resolves the problem.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to titusi
    Set up a packet filter rule at the top with 'Username (User Network)' : 'Any' -> 'Internal (Network)' and log it.

    Now, you can confirm that the automatic packet filter rule is inactive because you will see traffic from Username in the log.  If this is the case, you have another rule that is allowing all the traffic.

    If not, then reboot the Astaro and see if that resolves the problem.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hello,

    everything is ok now.

    It was my fault, i was testing throught ICMP, and i can reach the servers, but ICMP is defined in other part of config frontend of Astaro. The packets to servers in other services was dropped correctly.

    Thank you.
Cookie Information Banner