SSL VPN on all IP

To my surprise the VPN server can be reached via LAN-IP too. I don't want that.
How can i block this access and use those port on the Interfaces/IPs for other purposes?


1. I never tried that.  I would think that would cause the internal user to be unable to access any resources on the same, internal network.  Are you certain this is happening?  What do you want to to do that isn't possible now?

Currently (without VPN) the users in the (internal) LAN have only access to the (extra)proxy in the LAN and a HTTPS Intranet-Server in a DMZ and are allowed to do DNS and Ping.  
The Astaro serves as default gateway for the LAN.
The LAN addresses are natted and one Astaro interface is "open" to the LAN for routing to Internet and DMZs.
I think i wasn't clear,  here is an example:
Say from 10.10.10.10/24 (LAN) in can open the VPN using 10.10.10.1/24 (Astaro Gateway) and (!) on ***.***.***.1/28 (IP in the Internet)
I noticed that the user lost connectivty when i open the VPN from one PC in the LAN (After editing the .opvn to connect to the internal IP) ...so your thought is right. It would make no sense to do that as it renders the LAN useless, but it would be possible an a script kiddy could block the entire internal networking. That's not the way i want to go. :-)
Maybe it would help if i enable the user interface on the internal LAN to block the use of 443. (i don't have it currently always running)

But i don't see a way to bind the VPN only to ***.***.***.2.
Where can i enter the adresse of the interface?
(I can enter the host name in the VPN config, but that is only used to generate the client configs.)

Second i have a HTTPS server already running on the Primary IP, but i want to use 443 TCP for SSL VPN because this makes it easier to get thru firewalls/proxies.
How can i bind the VPN server to a specific IP alias?

2. I assume you mean that you want to DNAT incoming HTTPS traffic to a certain 
internal IP? 

 

Yes.
I have a HTTPS server already running in the DMZ on 10.20.20.2/24
That HTTPS is Dnatted to (from?)  ***.***.***.1/28:433, which is 
the "primary" (main) IP
Now i want to have the VPN on ***.***.***.2:443alias to preserve .1:443  for historical reasons.

But, if i understood the discussion in the web right, VPN can only bind 
to the primary "main" IP of an interface (***.***.***.1/28)so it is not possible 
to "bind" it to(from?) ***.***.***.2/28:443
Or is that information obsolete?
(if in write "bind" i meant mostly "Dnat")

Just put an 'Additional Address' ('Network >> Interfaces') on the External interface, and use that for your DNAT.  

Did that, but where do i find the other end of the Dnatting rule?
Another effect:
After adding that alias address (without activating it with Dnat) i found that i after a open port 25 on that address too.
The SMTP proxy of the astaro seems to listen on all interfaces too if i don't define a blocking rule...

You will want to leave port 443 unencumbered on the primary address so that you don't disrupt User Portal access.

But that ***.***.***.1:443 is already in use by the clients outside. :-(
I can't change that anymore. (someone long time ago someone found it 
superflux to define a CName/ALias PTR record in the DNS and uses the 
IP or our mail-DNS name for the Clients. I know: Outch.)

3. SSL VPN Remote Access has two-factor authentication, certificate and username/password, so it's very secure. 

If someone steals or (worse as none would have  noticed) copies the 
Notebook's Certificates (which are not very good protected in openVPN) 
and the password is weak or written somewhere...i would sleep better when i know that no third party could connect from any IP . Too it would keep brute force breaking attemps low. 
I know i'm paranoid :-)
I would like have one time passwords (secure token or so)
and maybe "page knocking" to hide/reuse the port too :-)

 I think it's possible to use DNATs to keep specific traffic and drop all the rest, but I haven't tried it with the SSL VPN.  Are you certain this is a problem you need to address?

Did i mention i'm paranoid ? :-))

Dnattig is a nice idea, but:
Where do i find those internal server definitions to name them in the Dnatting rule?
I can Dnat the IP of the "user IP" used in VPN. But the VPN server himself? 
I can't even bind it to a single specific IP. I assume it binds to all existing /dev/eth (and no etnX.y)?
Maybe i am missing a point? (or two?) :-)


Thanks again for your good questions!
Maybe you find time to make good questions further?

To my surprise the VPN server can be reached via LAN-IP too. I don't want that.
How can i block this access and use those port on the Interfaces/IPs for other purposes?


1. I never tried that.  I would think that would cause the internal user to be unable to access any resources on the same, internal network.  Are you certain this is happening?  What do you want to to do that isn't possible now?

Currently (without VPN) the users in the (internal) LAN have only access to the (extra)proxy in the LAN and a HTTPS Intranet-Server in a DMZ and are allowed to do DNS and Ping.  
The Astaro serves as default gateway for the LAN.
The LAN addresses are natted and one Astaro interface is "open" to the LAN for routing to Internet and DMZs.
I think i wasn't clear,  here is an example:
Say from 10.10.10.10/24 (LAN) in can open the VPN using 10.10.10.1/24 (Astaro Gateway) and (!) on ***.***.***.1/28 (IP in the Internet)
I noticed that the user lost connectivty when i open the VPN from one PC in the LAN (After editing the .opvn to connect to the internal IP) ...so your thought is right. It would make no sense to do that as it renders the LAN useless, but it would be possible an a script kiddy could block the entire internal networking. That's not the way i want to go. :-)
Maybe it would help if i enable the user interface on the internal LAN to block the use of 443. (i don't have it currently always running)

But i don't see a way to bind the VPN only to ***.***.***.2.
Where can i enter the adresse of the interface?
(I can enter the host name in the VPN config, but that is only used to generate the client configs.)

Second i have a HTTPS server already running on the Primary IP, but i want to use 443 TCP for SSL VPN because this makes it easier to get thru firewalls/proxies.
How can i bind the VPN server to a specific IP alias?

2. I assume you mean that you want to DNAT incoming HTTPS traffic to a certain 
internal IP? 

 

Yes.
I have a HTTPS server already running in the DMZ on 10.20.20.2/24
That HTTPS is Dnatted to (from?)  ***.***.***.1/28:433, which is 
the "primary" (main) IP
Now i want to have the VPN on ***.***.***.2:443alias to preserve .1:443  for historical reasons.

But, if i understood the discussion in the web right, VPN can only bind 
to the primary "main" IP of an interface (***.***.***.1/28)so it is not possible 
to "bind" it to(from?) ***.***.***.2/28:443
Or is that information obsolete?
(if in write "bind" i meant mostly "Dnat")

Just put an 'Additional Address' ('Network >> Interfaces') on the External interface, and use that for your DNAT.  

Did that, but where do i find the other end of the Dnatting rule?
Another effect:
After adding that alias address (without activating it with Dnat) i found that i after a open port 25 on that address too.
The SMTP proxy of the astaro seems to listen on all interfaces too if i don't define a blocking rule...

You will want to leave port 443 unencumbered on the primary address so that you don't disrupt User Portal access.

But that ***.***.***.1:443 is already in use by the clients outside. :-(
I can't change that anymore. (someone long time ago someone found it 
superflux to define a CName/ALias PTR record in the DNS and uses the 
IP or our mail-DNS name for the Clients. I know: Outch.)

3. SSL VPN Remote Access has two-factor authentication, certificate and username/password, so it's very secure. 

If someone steals or (worse as none would have  noticed) copies the 
Notebook's Certificates (which are not very good protected in openVPN) 
and the password is weak or written somewhere...i would sleep better when i know that no third party could connect from any IP . Too it would keep brute force breaking attemps low. 
I know i'm paranoid :-)
I would like have one time passwords (secure token or so)
and maybe "page knocking" to hide/reuse the port too :-)

 I think it's possible to use DNATs to keep specific traffic and drop all the rest, but I haven't tried it with the SSL VPN.  Are you certain this is a problem you need to address?

Did i mention i'm paranoid ? :-))

Dnattig is a nice idea, but:
Where do i find those internal server definitions to name them in the Dnatting rule?
I can Dnat the IP of the "user IP" used in VPN. But the VPN server himself? 
I can't even bind it to a single specific IP. I assume it binds to all existing /dev/eth (and no etnX.y)?
Maybe i am missing a point? (or two?) :-)


Thanks again for your good questions!
Maybe you find time to make good questions further?