Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 9184 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Restrict SSL VPN access to specific IP's

FrancWest
Hi,

is it possible to setup remote access SSL VPN in such a way that only specific IP addresses are allowed to connect to it? Of course you still have the username and password, but I also want to specify which IP addresses are allowed to setup a connection. I've tried it with packet filters to allow incoming SSL traffic only from the specified IP's, but that doesn't work. Still able to setup SSL VPN. I've turned off automatic packet filter rules but even then I'm still able to setup a SSL VPN.

Franc.


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to nethole
    Hi all, 

    this system is currently not designed to support this. 

    I can understand your concern regarding security, but the SSL-VPN system uses a two-factor authentication. This means you are only able to establish a tunnel if you have the valid X509 certificate AND the matching username and password if this server. 

    This means if somebody sees your username and password, he still can't connect, as he also needs the certificate. 

    We have customers like SAP or EADS that use this system for their Remote access.

    If you still need this feature, please contact your Astaro Partner, he is able to submit a feature request, which we track and potentially implement in the future.

    Thanks
    Gert
  • 0 in reply to Gert Hansen
    I don't know what load it might put on your Astaro, but you might consider establishing five site-to-site VPNs.  I'm not sure how you do that through a home router though.  It will make for very messy logs if the remote sites are usually not connected.  On the "bright" side, the users would be connected automatically.
  • 0 in reply to Gert Hansen
    Hi all, 

    this system is currently not designed to support this. 

    I can understand your concern regarding security, but the SSL-VPN system uses a two-factor authentication. This means you are only able to establish a tunnel if you have the valid X509 certificate AND the matching username and password if this server. 

    This means if somebody sees your username and password, he still can't connect, as he also needs the certificate. 

    We have customers like SAP or EADS that use this system for their Remote access.

    If you still need this feature, please contact your Astaro Partner, he is able to submit a feature request, which we track and potentially implement in the future.

    Thanks
    Gert


    Maybe i am wrong, but once someone already knows the username & password, cant they just go to the Astaro User Portal and download the VPN Client Zip file and install it which will give them the certificate.
  • 0 in reply to Al3
    Maybe i am wrong, but once someone already knows the username & password, cant they just go to the Astaro User Portal and download the VPN Client Zip file and install it which will give them the certificate.


    Hi,
    You can restrict which networks can access the end-user portal.

    Barry
  • 0 in reply to Al3
    Ah, now this is a correct observation, provided that:

    a) they know the address of the correct userportal
    b) they know the correct port of the userportal (you can change this to something other than 443)
    c) they are in the allowed networks of the userportal, which can indeed be restricted to only the internal network and say the 4-5 ip's from the outside world. I do this at home, my userportal only has my internal LAN and my dyndns.org hostname in the allowed networks field, thus no matter where i am in the world my laptop can always see the userportal, but its locked down to everyone else, even if they know the port, and have the name and password.