Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1706 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Restricting Acces for L2TP-VPN Users

djsuck
Hi there,

i spent days, trying to figure out how i could limit network access for L2TP-VPN Users... i finally gave up [:@]
I hope someone here can help me with this.

Here is the scenario
1x ASG 220 (7.3.0.6)
1 Interface (eth0)is connected to the WAN (static IP) - 1 (eth1) is connected to the local LAN (192.168.192.x/24).
The roadwarriors use SSL-VPN to connect to the local network (works fine)
PPTP is used to connect VOIP-Phones around town to the local PBX (works fine)

Now here is my problem:
I connected a second WAN interface (eth8) to the AGS and configured it.
I can reach it (ping the new external IP) from the outside - so I guess everything is ok.
I also created a new local subnet on eth7 (192.168.200.x/24).

External customers are supposed to connect via L2TP to this new internal network (192.168.200.x/24) on eth7.
I created a new L2TP-VPN-Pool for those customers, gave it 192.168.200.0/24 and bounded it to the second external interface.
This works too... but when I test the connection (connect as a customer, using L2TP) I can reach BOTH internal networks (192.168.192.x/24 AND 192.168.200.0/24)
I tried packet filters, routing, Dnat, Snat... to resctrict the access to the internal network (192.168.192.0/24) but whatever I did, I was still able to reach it.
I'm quite sure, that this is a damn small problem and I get furious, that I don't see it *lol*

To summarize:
L2TP-Users should have acces to 192.168.200.0/24 and NOT 192.168.192.0/24

I hope, I was able to make this scenario understandable [:)]
If you need any additional information - plz let me know.

Excuse my bad english (it's not my native language - I'm a german guy)

Hopefully someone can help me with this.
thx a lot


This thread was automatically locked due to age.
Parents
  • 0
    With L2TP over IPSec, I think the Astaro will build routes automatically to permit that traffic.  Have you tried adding a packet filter rule that drops traffic traffic from .200.x/24 to .192.x/24?  Or a null-route for that traffic?  (I don't know that that will work because of a recent post by Gert, so I'd be interested to know the result if you try it and it works)

    It is straightforward with the SSL VPN - users are only routed to the subnets listed in Internal Networks.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    ok... I kinda solved this problem.
    First of all: I tried using packet filters, that drop/reject traffic from .200.x/24 to 192.x/24 - actually, that whas one of the first things I tried... didn't work at all

    Unfortunately I can't use the VPN-SSL-Client on the customer's sites... because it needs administrative privilages to work propperly... which is btw a biiiig pain in the ass. Is there maybe some workaround?  In company networks aren't many users with admin rights.

    But here is what I did:
    I created a policy route.
    Source Interface: External2 [eth8](the new one I created... thats where the remote customers come in)
    Source Network: the L2TP-VPN-Pool of the customers
    Service: any
    Destination: 192.168.192.x/24 (the internal network... the one, the customers must not have access to)
    Target Interface: External2 [eth8], External1[eth0] or a new interface I created [eth5](with nothing attachted to it)... here works pretty much anything which is not physically connected to the internal network, I don't want the customers to get access to.

    So I intentionally created a WRONG route... felt strange... but worked [:)]

    Sadly I was only happy for a very short time.
    After I did that, I discovered a new problem. It does NOT seem related to the rules/interfaces I created before. For testing purposes, I deleted them and the new problem was still present.

    Here is what happens:
    When a user is connected via SSL-VPN and I fire up my L2TP-connection to the ASG200... the other user gets disconnected immediately. [:O]
    As soon as I disconnect my L2TP-connection, the other user's SSL-VPN client reconnects immedieately.

    I feel like this is worth a new thread, because I see no connection between this problem and the previous (kinda solved) one.

    I hope I made myself clear... if you have any furthermore questions - plz let me know

    What du you guys think?
Reply
  • 0 in reply to BAlfson
    ok... I kinda solved this problem.
    First of all: I tried using packet filters, that drop/reject traffic from .200.x/24 to 192.x/24 - actually, that whas one of the first things I tried... didn't work at all

    Unfortunately I can't use the VPN-SSL-Client on the customer's sites... because it needs administrative privilages to work propperly... which is btw a biiiig pain in the ass. Is there maybe some workaround?  In company networks aren't many users with admin rights.

    But here is what I did:
    I created a policy route.
    Source Interface: External2 [eth8](the new one I created... thats where the remote customers come in)
    Source Network: the L2TP-VPN-Pool of the customers
    Service: any
    Destination: 192.168.192.x/24 (the internal network... the one, the customers must not have access to)
    Target Interface: External2 [eth8], External1[eth0] or a new interface I created [eth5](with nothing attachted to it)... here works pretty much anything which is not physically connected to the internal network, I don't want the customers to get access to.

    So I intentionally created a WRONG route... felt strange... but worked [:)]

    Sadly I was only happy for a very short time.
    After I did that, I discovered a new problem. It does NOT seem related to the rules/interfaces I created before. For testing purposes, I deleted them and the new problem was still present.

    Here is what happens:
    When a user is connected via SSL-VPN and I fire up my L2TP-connection to the ASG200... the other user gets disconnected immediately. [:O]
    As soon as I disconnect my L2TP-connection, the other user's SSL-VPN client reconnects immedieately.

    I feel like this is worth a new thread, because I see no connection between this problem and the previous (kinda solved) one.

    I hope I made myself clear... if you have any furthermore questions - plz let me know

    What du you guys think?
Children
  • 0 in reply to djsuck
    So you confirm that the null-route works - cool!

    I agree that this other issue merits a new thread.

    Thanks - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner