Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 10013 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Design Questions

PSyc
Hi all,

I've some questions regarding SSL VPN because we want implement these VPN technique in fact of SSL is nearly allowed in each network.

In fact of security requirements we want that the whole SSL VPN is couldn't connect to each other (SSL Client to SSL Client), have only restricted access to the internal network and must use the webproxy with user authentication for surfing the web.

I've done some tests with a test account, had used in SSL configuration under local networks , NAT from VPN Pool to internal, automatic packet filter disabeld and webproxy on port 8080 enabled but however I had whole access to my internal and external network in fact of packet filter rules where not set or not set to allowed.


In fact of I'm not familiar with VPNs please be patient with me and try to solve my issue [:)] .. 


cheers

Psyc


This thread was automatically locked due to age.
  • 0
    however I had whole access to my internal and external network


    Do you mean HTTP via the proxy, or all services?

    Barry
  • 0 in reply to BarryG
    To my internal network I had access to all services .. I guess I inarticulate .. to external I had only access via web proxy on http service.. 


    cheers
  • 0 in reply to PSyc
    Please try to write shorter sentences.  That will make your situation easier to understand.

    Are you trying to establish a 'Site-to-Site' VPN, or are you trying to offer 'Remote Access' to roadwarriors?

    have only restricted access to the internal network

    What specific restrictions do you want?

    SSL configuration under local networks , NAT from VPN Pool to internal, automatic packet filter disabeld and webproxy on port 8080 enabled

    It is impossible to guess what you did without specific, explicit information.  Pictures would work great.

    There are many smart, talented peple here who will be happy to help you, but there are some "tricks" to getting help from them.  Every new member here should read How To Ask Questions The Smart Way

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to PSyc
    What packetfilter rules do you have for the VPN Pool?
    Do you have any NAT settings for the pool?

    Barry
  • 0 in reply to BarryG
    Please try to write shorter sentences.  That will make your situation easier to understand.


    Thanks for that hint, I'll try to do my best .. 


    Are you trying to establish a 'Site-to-Site' VPN, or are you trying to offer 'Remote Access' to roadwarriors?


    I'll try to establish Remote Access.


    What specific restrictions do you want?


    A deny to all services which are not listed in the Packet Filter.


    It is impossible to guess what you did without specific, explicit information.  Pictures would work great.


    Attached


    There are many smart, talented peple here who will be happy to help you, but there are some "tricks" to getting help from them.  Every new member here should read How To Ask Questions The Smart Way


    Thank you very much for that link! At the end this link solved my problem [[;)]]!


    As I mentioned my problem seems to be solved! You know, the problem was not the VPN or my configuration, it was myself [:D].

    Anyway, I reviewed my configuration and as you proposed I did a picture of my network.

    As done I saw my mistakes which could be fixed very easy .. to detail them, it was a stupid logical mistake .. 

    Should you see still a mistake give me a hint!


    However, thanks again for your help! Sometimes it help to be arrogant [:P] .. I hope you don't understand it wrong [[;)]]!

    Cheers - Bob


    cheers

    Alex
  • 0 in reply to PSyc
    Hi Alex,

    please let us know your solution or what your mistake was...
    -- 
    So long, Steffen
  • 0 in reply to trialrider
    Hi Steffen, hi all

    here a short overview of my done configuration .. 

    I guess my biggest mistake was, that I used for "Local Networks" und Remote Access only "Internal" .. the effect was that my client was able to get access to my internal network but all traffic to the internet gone through the connect remote network .. so it was not safe, because my proxy was bypassed ..

    The second mistake was that the Automatic Paketfilter was checked for Remote Access .. First I dont realize it .. so I was a little bit confused why my client was able to use "all" service in the internal network .. 

    Anyway. To solve my "issue" I draw a picture of my network how it is and how I want it.

    First, you have to select as "Local Networks" in Remote Access "Any" and if "Automatic Paketfilter" is checked, uncheck it!

    Then you've to create at least one NAT Rule, SSL VPN Pool => Internal. Should you want to use other services as HTTP to External, you've to create a second NAT Rule SSL VPN => External.

    In fact of I'm using the ASG a Proxy, I created a seperate HTTP Profile for the SSL VPN with more restrictive settings as for my internal network. I guess every will set these settings in a different way.

    At least you've to create Paketfilter Rules for services you want use in your Internal and your External Network.


    cheers 

    Alex
  • 0 in reply to PSyc
    Then you've to create at least one NAT Rule, SSL VPN Pool => Internal. Should you want to use other services as HTTP to External, you've to create a second NAT Rule SSL VPN => External.Alex


    Alex,

    I've been looking to do this also. Thanks for the tip I will try it. Can you post the exact NAT rule you used for internall and external access?

    Thanks
    Ralph
  • 0 in reply to qhplar
    Hi Ralph

    I guess I worded me wrong .. I've create a simple Masquarading Rule .. ok it where two [;)] .. 

    First one: VPN SSL Pool => Internal
    Seconde one: VPN SSL Pool => External


    Let me know if you need further help!


    cheers

    Alex
  • 0 in reply to PSyc
    Alex,

    I tried the settings you suggested my Internet traffic is still not being redirected through the ASG and I have lost ability to connect to my local network. What am I missing?

    Thanks
    Ralph
Cookie Information Banner