Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 5055 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Best scenario for remote support personnel.

touchwood
Have a new accounts server installed which will need semi permanent remote access by external software support personnel. I need the remote support access to only connect to that particular server in the network.
Now with a VPN SSL connection Automatic packet filter rules confine access to networks not IP's.
Is there a method to confine a remote connection (other than VNC etc. that can be controlled via packet filtering) that will lock a particular user to a specific ip.

Thanks

David


This thread was automatically locked due to age.
  • 0
    You can't assign a specific, static IP to an SSL VPN user, only PPTP, IPsec and L2TP over IPsec.  L2TP is much more secure than PPTP, and it is supported by the standard Windows VPN client; L2TP is our standard choice.

    If you only want to use the SSL VPN for your remote support team, then, instead of indicating your entire LAN as a local network, just use the hostname of the server you want them to reach.  This same "trick" can be used with the IPsec and Cisco Remote Access servers offered by the Astaro.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for the pointers Bob.

    I already have different networks specified for other "road warrior" users who have access to the networks. Can I "lock" a specific SSL connection to an internal IP addressed host that I include in the hosts?

    Regards

    David
  • 0 in reply to touchwood
    So I have opted for the L2TP over IPSEC option . Which gets me to the firewall - can you tell me how I specify the source in packet filter if there is no static ip  from the remote host, also do I need to SNAT/DNAT to pass to internal IP?

    Thanks

    David
  • 0
    Assign the 'Static remote access IP' in the user defintion.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob -

    I meant if the remote support user does not have a static IP.

    Also once user is connected how do I pass that connection through to the internal IP of the host PC they need to connect to. I apologise for my lack of knowledge on this.

    Thanks

    David
  • 0
    The static IP is one from the Astaro - the remote user's IP at his location is not considered (of course, that's assuming it's not in the same subnet with any in use by the Astaro!).

    You can then use this IP to create restrictions.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, if i have understand well, I think you can simply use the packet filter instead of automatic packet filter, all you have to do is to specify the user, the service and the hosts, example:

    pippo  ---->5900----->192.168.1.100
    (ssl user)-->services-->target host

    by this way i'm sure that work fine

    best regards
  • 0 in reply to nethole
    Hi, if i have understand well, I think you can simply use the packet filter instead of automatic packet filter, all you have to do is to specify the user, the service and the hosts, example:

    pippo  ---->5900----->192.168.1.100
    (ssl user)-->services-->target host

    by this way i'm sure that work fine

    best regards


    Exactly!,

    Nethole got the right answer. The best way to do it, is disabling the auto PF and creating custom PF rules. The source of each connection is the user (as network object)
  • 0 in reply to suzzyx
    Suzzyx and nethole, he's using L2TP, so there's no option to disable an auto packet filter rule.  I know that the 'Username (Network)' object does get resolved in some circumstances, and I'd be interested in having confirmation that it does in this instance.

    Touchwood, please do report back on the solutions tried and your results.

    Cheers - Bob
  • 0
    Dear BAlfson I've read that now he is not using SSL, but I've answered to the first question:

    -yes is possible to use SSL connection and filter the traffic of a user

    He chose the L2TP because, i think, no one tell him how to do with SSL