Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 865 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED] SSL VPN to route by user

hwschroeder
Dears,

first, friendly Hello to the community (and please excuse my bad english :-) )

Brand new user, I started with a ASG120 in the following configuration:

en0 = WAN
en1 = Network internal               x.x.1.0/24
en2 = Network communications   x.x.2.0/24
en3 = Network special guests      x.x.3.0/24

I do local authentication of the users.
I want to use SSL VPN for remote access.

The simple way is up and running (Network en1, accepted User1)

But I have to route the VPN´s access:

  - User1 -- SSL VPN -- internal
  - User2 -- SSL VPN -- communications
  - User3 -- SSL VPN -- communications

Depending on the remote user, the destination network must be different.

IP`s can be taken either from the predefined IP Pool or a DHCP Server in "internal" or an other one in "communications".

Is it possible to specify this User-depening-VPN-access?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, hwshcroeder, and welcome to the User BB! 

    You're very close.  The easiest way to accomplish what you want would be with IPsec remote access, but it's very possible to do what you want with SSL Remote Access.

    First, a point of "philosophy" about Astaro.  When you create a local user named "User1", Astaro creates an object "User1 (User Network)" that you can use in traffic selectors.  If the individual is not logged in to the VPN, then that object is not resolved to an IP, but, upon logging in, the object gets the VPN IP address of "User1".  A similar network object is created when you define a group of users.

    Here are easy steps to accomplish what you want to do:
    • Put the individual users into user groups like "VPN-Access-to-Communications" and "VPN-Access-to-Internal".
    • Instead of listing the individual users in the SSL definition, put those groups in the list of 'Users and Groups'.
    • Be sure to uncheck the selection for 'Automatic packet filter rules'.  This will cause the 'Local Networks' box to disappear.
    • Rather than create a separate packet filter rule for each user, create PF rules like:

      VPN-Access-to-Communications (User Group Network) -> Any -> Communications (Network) : Allow


    • Be sure that your rules are near enough to the top that no "Drop" rules block the traffic before being considered by your new rules.

    Now when you have a new employee that needs VPN access, all you have to do is create the local user definition and put it into the desired user groups - no other configuration is required!

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob,

    thanks for your quick reply.

    Groups for the different Users I understand, routing options as well.

    But what to put in the tap local networks at remote access?
    If I put both target networks in, I can access both.



Reply Children
No Data