Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1488 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet filter rule for VPN

UpulMolligoda
Hi,
I have just setup a L2TP over IPSec remote access VPN. It works well and I am quite happy with it. In the packet filter i set up a rule

vpnuser -> Any -> Internal Network 

Is that rule too liberal? Could it be used for unauthorised access?

It was the only way i could get the Novell Client to run from the Remote connection. 

Thanks


This thread was automatically locked due to age.
  • 0
    Hi, it depends how much you trust your VPN user(s), but yes, once on the VPN, the user(s) have full access to your internal network.

    If you want to fine tune the rules, you could:
    1. set that rule to LOG, and then replace it with rules to allow the desired traffic from the logs
    or
    2. disable the rule, and look at dropped traffic in the log, and create rules to allow it.

    Barry
  • 0 in reply to BarryG
    Hi, 
    Not so much a reply, more a query on a similar matter. We have an ASG425 and have enabled AD integration with a RADIUS backend for our L2TP VPN users. My issue is that I cannot seem to get a packet filter rule that works for the backend group eg AD_Group  Wan

    It works perfectly well with the IP Pool  wan  configuration and with users as local user with remote authentication and per per person rules eg
    user  wan 

    but what I would like to achieve is a single point of management in the AD managed by the service desk to allow remote access  Has anyone got this configuration / Do you know if it's possible ?
    Many thanks
    Nigel
  • 0
    Nigel, why doesn't the IP-pool solution work for you?  Are you trying to separate users into different categories with different access rights?  I guess I don't understand what problem you are trying to solve...

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    You're correct in your assumption.  I would like to be able to segregate groups of users into different parts of the WAN and was hoping to to do so by means of AD groups so it could be managed at that level, without maintaining local groups on the ASG - Incidentally would it work using local groups ?

    Using the whole Pool isn't a problem if I can't, it's just that I couldn't get it to work and wondered if it was possible and I was missing something.

    thanks for your reply
    Nigel
  • 0
    Nigel, I don't think you can achieve that with L2TP.  

    The only available Remote Access server that allows you to associate groups and networks is IPsec.  That requires the use of something like the Astaro Secure Client which costs about $50 per user in higher volumes.

    Other than that, if you want to have one group that has more-restricted access, you could assign them to the SSL VPN instead of L2TP.  The SSL solution is well-integrated with AD, the client is free and the connection is also very secure.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks Bob,

    We use the SSL VPN for 3rd party access using a different IP Pool and planned to use the L2TP for Company users as the client is there in windows anyway. The Company won't pay for the Astaro secure client, and we are trying to move away from existing Cisco clients.

    I have toyed with the idea of using L2TP + IPsec using multiple certificates and Pools depending on user categorization rather than PSK on the L2TP settings, as I believe its is possible to configure the windows L2TP VPN to work with certificates with a little extra configuration. The certificates would then be deployed by GPO to the appropriate end user(s) / devices  and a different set for home devices.

    Notwithstanding any of the above I'm happy to use the Pool address range and customise the packet filter rules accordingly, that will work for 99% of my expected remote users.

    thanks for your input[:)]
    regards
    Nigel