static IP for VPN ssl client ?

Hi Erwan,

as far as I know the static IP in the user object is only for the pptp.

Merry Christmas
Marco

Hi marco,
Thanks for your reply, my question was "is there any tips to fix static remote IP for VPN ssl client users, instead of default /dev/urandom dhcpd VPN ssl spool behaviour", webadmin based or not.
Merry Christmas too !
Erwan

You can do it with SNAT and DNAT rules.
This does not mean that the client _really_ gets a static address - it still gets a (random) address assigned out  of the SSL VPN pool network.
However, with the appropriate SNAT/DNAT rules (using the "user network" object of the user) you can achieve that the client´s packets are natted behind a _static_ "virtual" fix ip address when traversing the ASG,  thus the source appears to be from this fixed virtual IP in the LAN.

Note – The static remote access IP can only be used for remote access through PPTP, L2TP, and IPSec. It cannot be used, however, for remote access through SSL.

Erwan, having a fixed IP is one possible solution to a problem; what is that problem you're trying to solve?

Cheers - Bob

Ölm, you got it ! You're my Santa Claus !
I've don't seen this "user network" object ( ... my apologize to all ... ), so that's my missing link between vpn ssl auth and other networks definitions and rules.
No problem for me to use, like you say, additionals "virtual fix IPs", but I don't even need this yet, cause my needs are ASG-internals : "user network" is enough, but the snat/dnat could be very useful later if this need to be defined on other servers on LANs ( iptables, htaccess, mysql and other ones that need an identifier, IP ).
Thanks again.

BAlfson, yes sure other ways ! I've thinked the simpliest, but as I just said to Ölm, with this definition I don't even need fixed IP ( at this time ).
First need was to allow specifics vpn users as priviligied ones : theses ones will use masquerading to external link ( for this I've thinked I need a fixed IP ) and could then access differents ports on the internet ( dns, exotics ssh, imap etc... ), other vpn ssl users will stay behind the main astaro and it's transparent web/mail proxy, DNS and internal network access.
Second one, same thing but more sophisticated filtering to allow different access rules for different vpn users ( low privilegied users access to only access few specific demo or business servers for example ). To achieve this filtering inside the vpn pool, it's the same : I just need to identify each user ( the "user network" is okay, no matter for me which IP if astaro knows ).
Third thing : an alternative to site to site vpn with just a vpn ssl client server which act as gateway, same also.
ASG is not leaking a feature : I just stupidly don't find that it's "internally" managed.
But having "really fixed" IP ( with Ölm's "virtual fixed IP" and SNAT/DNAT ) may be needed if the filtering rules of vpn ssl networks move away from astaro ( then "user network" wouldn't be efficient ).
Thanks all, and my apologize again.

No need to apologize for this, Erwan, this is something many people do not know and to be honest I think the "user network" thing is not well described in the Astaro user manual.
Glad I was able to help !

Whish you a nice Christmas!

Thanks again, and happy end of year holidays all !