SSL VPN Design Questions

however I had whole access to my internal and external network

Do you mean HTTP via the proxy, or all services?

Barry

To my internal network I had access to all services .. I guess I inarticulate .. to external I had only access via web proxy on http service.. 


cheers

Please try to write shorter sentences.  That will make your situation easier to understand.

Are you trying to establish a 'Site-to-Site' VPN, or are you trying to offer 'Remote Access' to roadwarriors?

have only restricted access to the internal network

What specific restrictions do you want?

SSL configuration under local networks , NAT from VPN Pool to internal, automatic packet filter disabeld and webproxy on port 8080 enabled

It is impossible to guess what you did without specific, explicit information.  Pictures would work great.

There are many smart, talented peple here who will be happy to help you, but there are some "tricks" to getting help from them.  Every new member here should read How To Ask Questions The Smart Way

Cheers - Bob

What packetfilter rules do you have for the VPN Pool?
Do you have any NAT settings for the pool?

Barry

Please try to write shorter sentences.  That will make your situation easier to understand.

Thanks for that hint, I'll try to do my best .. 

Are you trying to establish a 'Site-to-Site' VPN, or are you trying to offer 'Remote Access' to roadwarriors?

I'll try to establish Remote Access.

What specific restrictions do you want?

A deny to all services which are not listed in the Packet Filter.

It is impossible to guess what you did without specific, explicit information.  Pictures would work great.

Attached

There are many smart, talented peple here who will be happy to help you, but there are some "tricks" to getting help from them.  Every new member here should read How To Ask Questions The Smart Way

Thank you very much for that link! At the end this link solved my problem [[;)]]!


As I mentioned my problem seems to be solved! You know, the problem was not the VPN or my configuration, it was myself [:D].

Anyway, I reviewed my configuration and as you proposed I did a picture of my network.

As done I saw my mistakes which could be fixed very easy .. to detail them, it was a stupid logical mistake .. 

Should you see still a mistake give me a hint!


However, thanks again for your help! Sometimes it help to be arrogant [:P] .. I hope you don't understand it wrong [[;)]]!

Cheers - Bob

cheers

Alex

Hi Alex,

please let us know your solution or what your mistake was...
-- 
So long, Steffen

Hi Steffen, hi all

here a short overview of my done configuration .. 

I guess my biggest mistake was, that I used for "Local Networks" und Remote Access only "Internal" .. the effect was that my client was able to get access to my internal network but all traffic to the internet gone through the connect remote network .. so it was not safe, because my proxy was bypassed ..

The second mistake was that the Automatic Paketfilter was checked for Remote Access .. First I dont realize it .. so I was a little bit confused why my client was able to use "all" service in the internal network .. 

Anyway. To solve my "issue" I draw a picture of my network how it is and how I want it.

First, you have to select as "Local Networks" in Remote Access "Any" and if "Automatic Paketfilter" is checked, uncheck it!

Then you've to create at least one NAT Rule, SSL VPN Pool => Internal. Should you want to use other services as HTTP to External, you've to create a second NAT Rule SSL VPN => External.

In fact of I'm using the ASG a Proxy, I created a seperate HTTP Profile for the SSL VPN with more restrictive settings as for my internal network. I guess every will set these settings in a different way.

At least you've to create Paketfilter Rules for services you want use in your Internal and your External Network.


cheers 

Alex

Then you've to create at least one NAT Rule, SSL VPN Pool => Internal. Should you want to use other services as HTTP to External, you've to create a second NAT Rule SSL VPN => External.Alex

Alex,

I've been looking to do this also. Thanks for the tip I will try it. Can you post the exact NAT rule you used for internall and external access?

Thanks
Ralph

Then you've to create at least one NAT Rule, SSL VPN Pool => Internal. Should you want to use other services as HTTP to External, you've to create a second NAT Rule SSL VPN => External.Alex

Alex,

I've been looking to do this also. Thanks for the tip I will try it. Can you post the exact NAT rule you used for internall and external access?

Thanks
Ralph

Hi Ralph

I guess I worded me wrong .. I've create a simple Masquarading Rule .. ok it where two [;)] .. 

First one: VPN SSL Pool => Internal
Seconde one: VPN SSL Pool => External


Let me know if you need further help!


cheers

Alex

Alex,

I tried the settings you suggested my Internet traffic is still not being redirected through the ASG and I have lost ability to connect to my local network. What am I missing?

Thanks
Ralph

In another thread today, Gert Hansen explained the reason the masquerade to Internal works for you; your packets were reaching their targets inside 'Internal (Network)', but the responses had no route back to the VPN.

In your 'Internal (Network)', the gateway for the computers is not the Astaro's 'Internal (Address)'.

You can fix that by changing the DHCP configuration to assign the IP of 'Internal (Address)' as the gateway.  Or you can add a route in the PCs you want to communicate with: route 10.12.242.0/24 to the IP of 'Internal (Address)'.  Of course, your masquerading trick also works.

Cheers - Bob

Bob,

With the configuration Alex suggested my internal network is NOT working. It was working when I set it up as in the video tutorial. I'm trying to get ALL remote traffic going through the ASG. When set up as in the video the internal traffic goes through the ASG but not Internet bound traffic. I was hoping these settings would force all my traffic through the ASG but instead it blocks my internal traffic and the Internet traffic is still going out, but not being sent through the ASG.

Thanks
Ralph

Go back to the setup as in the Video tutorial.

In 'Remote Access >> SSL' on the 'Global' tab, for 'Local Networks', put 'Any' instead of 'Internal (Network)' and the Astaro will build the routes and Packet Filter rules.

In the HTTP/S Proxy, add 'VPN Pool (SSL)' to 'Allowed Networks'.

In 'Network Security >> NAT', add a masquerading rule like Psyc did: 'VPN Pool (SLS)' to 'External'.

Let us know if that does it for you.

Cheers - Bob

Ralph

I guess you've done somewhere a mistake [;)] .. I know what I'm talking *loud laugh* .. anyway, what I can recommend is that you draw your network .. 

However, as Bob mentioned please check if you've added Any to Local Networks in Remote Access configuration. Please also check that you've not selected Automatic Packetfilter ..

What is the IP range from your SSL VPN Pool?

cheers

alex

Ok I changed the settings back to what they were in the video and got local working again. I then made only the changes in Bob's post and now it's working correctly. I didn't do the SSL VPN Pool=>Internal but I have access to internal resources. Do I need that?

I installed the VPN client on a clean machine I wonder if that made a difference. What changes in my VPN settings on the ASG would require updates on the client?

Thanks PSyc and Bob!!

Ralph

Ralph, whether you set the masq for SSL to External depends on what you want.  If you want remote users to have their surfing pass through the VPN and Astaro web security, you need all of the things I mentioned.

If the only traffic you want in the tunnel is that bound for your internal network, then put "Internal (Network)" in 'Local Networks' and don't bother with the addition to the HTTP/S Proxy (unless they are accessing a local webserver) or the masq rule.

The first solution is the more secure and is what I would recommend as long as you don't have limited uplink speed because of DSL.  The second solution (a "split tunnel") can work where you have DSL and confidence in all of the remote users that they won't disable their local anti-virus and that they are carefull about files they open, sites they visit and emails they read.

Cheers - Bob

Bob,

I want to leave the External in there my question is to I need to add the Internal masq alo like Alex suggested? It seems to be working fine with only the External masq.

Thanks
Ralph

The reason he had to add the Internal masq was because the devices in his internal network didn't have the IP of 'Internal (Address)' assigned as their gateway.

That meant that those devices had no route back through the VPN to respond to requests.

After he created the masq, his requests appeared to come from 'Internal (Address)' instead of a VPN IP.  Now, since 'Internal (Address)' was in the same subnet with the target of the request, the target had a route back to 'Internal (Address)', and the Astaro knew how to send the response to the requestor.

From your initial description, it's clear that your internal devices have the IP of 'Internal (Address)' as gateway, so you don't need to solve the routing problem that Alex has.

Cheers - Bob