Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 5043 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Best scenario for remote support personnel.

touchwood
Have a new accounts server installed which will need semi permanent remote access by external software support personnel. I need the remote support access to only connect to that particular server in the network.
Now with a VPN SSL connection Automatic packet filter rules confine access to networks not IP's.
Is there a method to confine a remote connection (other than VNC etc. that can be controlled via packet filtering) that will lock a particular user to a specific ip.

Thanks

David


This thread was automatically locked due to age.
Parents
  • 0
    Dear BAlfson I've read that now he is not using SSL, but I've answered to the first question:

    -yes is possible to use SSL connection and filter the traffic of a user

    He chose the L2TP because, i think, no one tell him how to do with SSL
Reply
  • 0
    Dear BAlfson I've read that now he is not using SSL, but I've answered to the first question:

    -yes is possible to use SSL connection and filter the traffic of a user

    He chose the L2TP because, i think, no one tell him how to do with SSL
Children
  • 0 in reply to nethole
    Thanks for the info -

    So to clarify - an external user can connect via SSL to a specific internal IP Host using their SSL name. Setup in just the packet filter alone - not in Dnat.
    I would appeciate an example.

    Thanks

    David


    Dear BAlfson I've read that now he is not using SSL, but I've answered to the first question:

    -yes is possible to use SSL connection and filter the traffic of a user

    He chose the L2TP because, i think, no one tell him how to do with SSL
  • 0 in reply to touchwood
    example.JPG

    In the example above you can see that:

    sources: the user you want to be filtered *
    services: the services type you want the user can use **
    destination: the host you want that the user should achieve***


    * you can create also users group, for example if a group of people have the same permission
    ** you can also create a group of services, for example terminal server+vnc+ping+trace route+.....
    *** you can also create a group of hosts, for example if you want the selected user/s to achieve with the same service/s a group of hosts 

    Just remember to disable the automatic packet filter of the SSL

    TIPS: If you pass the mouse over the user object, in the yellow flag appear unresolved if the user is unconnected and the real assigned ip if he is connected

    ####################################################
    You need to use DNAT only if you want to recognize the user connected (example assistance) without know the ip of the user, this is a trick I use if the EDP of our customers want to give assistance to the the remote users of his company.
    As you know you can't give a static ip to a user, but you can create a DNAT rule that can really help you, like this one:

    DANAT.JPG

    this DNAT say that:

    anyone is searching whit any services the false ip 1.1.1.1 must be redirect to the user a.chessa, this work always without know the real ip assigned by the dhcp pool, all you have to do to reach the user is to use the false ip you chose instead of the ip assigned by the dhcp pool

    just remember do not use "Allow multiple concurrent connections per user"  in SSL