Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1866 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN on all IP

AndiMa
Hello

The Astaro SSL VPN is really easy to setup(ASG320 7.5x).  Less than 30 Minutes and done! http://www.astaro.org/images/smilies/smile.gif
(not mentioned 2h searching for the documentation http://www.astaro.org/images/smilies/wink.gif)

To my surprise the VPN server can be reached via LAN-IP too. I don't want that.
How can i block this access and use those port on the Interfaces/IPs for other purposes?
Second i have a HTTPS server already running on the Primary IP, but i want to use 443 TCP for SSL VPN because this makes it easier to get thru firewalls/proxies.
How can i bind the VPN server to a specific IP alias?
Third i would like to limit the allowed Client IP range to keep breaking attempts low.
How can i do that? (Using site-to-site VPN with dynamic IP? Virutal Interfaces?)
 
TIA

Andi


pardon if you read this twice. I don't see my 1st post. I think i ran into a timeout while writing and was logged out


This thread was automatically locked due to age.
Parents
  • 0
    If i could define a DNAT rule to the astaro internal SMTP server(e.g.), i could add a second DNAT for the "remaining entire" net to a dummy, not existing server, right?


    Yes, I think you can accomplish your goal for SMTP with two rules similar to the ones I suggested for SSL:

    You can do a similar rule for the External IPs, null-routing traffic to ***.***.***.1/28 that's not supposed to pass. DNATs are considered in order, so you should be able to make a rule above it like '{specific IPs} -> {SSL VPN port} -> {***.***.***.2} : DNAT to {SSL VPN port}' to allow the passage of traffic from "specific IPs" to establish the VPN.


    I haven't done that before, so please let us know if that works!

    Cheers - Bob
    PS if you're using Web Application Security, you don't need a DNAT to send traffic to your internal webserver.  Similarly, if you're using Mail Security, you don't want a DNAT to direct traffic to your mail server.  The basic rule for traffic arriving at an interface is: DNATs first, then Proxies, and finally, manual Packet Filter and Routing rules.
  • 0 in reply to BAlfson

    PS if you're using Web Application Security, you don't need a DNAT to send traffic to your internal webserver.  Similarly, 
    if you're using Mail Security, you don't want a DNAT to direct traffic to your mail server.  
    The basic rule for traffic arriving at an interface is: 
    DNATs first,  then 
    Proxies, and finally, manual 
    Packet Filter and 
    Routing rules.



    a) Web Security is currently not licenced as the outside user are "well known" so the servers should not be public avaiable (Therefor my wish to limit the access IP)
    b) I think that does not look professional if the one an only SMTP server occures on every alias i activate. So i want to "earthen" the unused, duplicated port 25.
    (In SMTP servers i sat up i bound the server to explict IPs, not the entire interface (127.0.0.1 plus WAN IP plus LAN IP). 

    My big question is how can i get this with one astoro:
    WAN.1:443 -> DNATed HTTPS server (TCP wrapped access only from dedicated networks)
    WAN.2:443 -> Astaro User Interface
    WAN.3:443 -> SSL VPN(OpenVPN) (You said that this is impossible with astaro IIRC, i have to use UDP or an other port on WAN.1,say :565 e.g.)

    So i must end up 
    First attempt:
    WAN.1:443 -> SSL VPN
    WAN.2:443 -> DNATed HTTPS server
    WAN.3:443 -> Astaro User Interface (does not work as the User interface is bound to an interface, not an IP.)

    Final attempt:
    WAN.1:210 -> SSL VPN
    WAN.1:443 -> Astaro User Interface
    WAN.2:443 -> DNATed HTTPS server


    I don't see under "network definition" any names for services offerd by the astaro.
    So i don't know how i could "bind" those services to a dedicated IP(Alias).

    Is there a way like binding internal services first to a (named) virtual interface
    or so?
Reply
  • 0 in reply to BAlfson

    PS if you're using Web Application Security, you don't need a DNAT to send traffic to your internal webserver.  Similarly, 
    if you're using Mail Security, you don't want a DNAT to direct traffic to your mail server.  
    The basic rule for traffic arriving at an interface is: 
    DNATs first,  then 
    Proxies, and finally, manual 
    Packet Filter and 
    Routing rules.



    a) Web Security is currently not licenced as the outside user are "well known" so the servers should not be public avaiable (Therefor my wish to limit the access IP)
    b) I think that does not look professional if the one an only SMTP server occures on every alias i activate. So i want to "earthen" the unused, duplicated port 25.
    (In SMTP servers i sat up i bound the server to explict IPs, not the entire interface (127.0.0.1 plus WAN IP plus LAN IP). 

    My big question is how can i get this with one astoro:
    WAN.1:443 -> DNATed HTTPS server (TCP wrapped access only from dedicated networks)
    WAN.2:443 -> Astaro User Interface
    WAN.3:443 -> SSL VPN(OpenVPN) (You said that this is impossible with astaro IIRC, i have to use UDP or an other port on WAN.1,say :565 e.g.)

    So i must end up 
    First attempt:
    WAN.1:443 -> SSL VPN
    WAN.2:443 -> DNATed HTTPS server
    WAN.3:443 -> Astaro User Interface (does not work as the User interface is bound to an interface, not an IP.)

    Final attempt:
    WAN.1:210 -> SSL VPN
    WAN.1:443 -> Astaro User Interface
    WAN.2:443 -> DNATed HTTPS server


    I don't see under "network definition" any names for services offerd by the astaro.
    So i don't know how i could "bind" those services to a dedicated IP(Alias).

    Is there a way like binding internal services first to a (named) virtual interface
    or so?
Children
No Data