Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 3896 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple VPNs to different VLANs?

m00dawg
I wonder, is it possible to have multiple VPN connections that go to different VLANs? So, say if I login as me (an admin), I get access to the admin VLAN. Others that use the VPN that are not in the admin group get access to the "normal" VLAN (which does not have access to certain network segments, such as our network for switch management). I noticed that using the standard IPSEC allowed for defining multiple VPN types, but no other VPN option allowed this.

I would be happy with IPSEC but OS X only seems to support L2TP/IPSEC. I thought about trying to beat this using filtering rules but that seems less secure than simply having multiple VPN groups.

Thoughts?


This thread was automatically locked due to age.
  • 0
    Hi, easiest way to do this right now would be to use a different VPN type for each group... e.g. use OpenSSL for Admins, L2TP for non-admins... that way you can setup PacketFilter rules for each VPN Pool.

    I'm pretty sure OpenVPN works in OSX.

    Also see Astaro Gateway Feature Requests for feature requests.

    Barry
  • 0
    Thanks Barry!

    OpenVPN does indeed work though I have only tried it with SSL-based (not IPSEC). Using multiple VPNs was my thought as well. Just wanted to make sure I was on the right page there.

    Looks like the feature request that pertains to this is this one in case anyone else would like to vote!

    Thanks for the help!

    Tim
  • 0
    m00dawg, the approach with Packet Filter rules should work just fine as you can create PF rules with things like "SuperAdmins (User Group Network)" - the network objects automatically created for individual users and groups.  These objects resolve to IPs whenever users are logged in to a VPN.

    In particular, if you're using Active Directory groups like Sales and Accounting, you can simply define backend groups in Astaro and create PF rules with "Sales (User Group Network)", etc.

    Cheers - Bob
  • 0 in reply to BAlfson
    m00dawg, the approach with Packet Filter rules should work just fine as you can create PF rules with things like "SuperAdmins (User Group Network)" - the network objects automatically created for individual users and groups.  These objects resolve to IPs whenever users are logged in to a VPN.


    Cool... Does this also work with local users?

    Thanks,
    Barry
  • 0
    Yeah.  One of my "hard lessons" was thinking I could use those network objects in other ways, but they only get populated when someone logs into WebAdmin or a VPN.

    Actually, Barry, I was thinking you were one of the people that taught me that!

    Cheers - Bob
  • 0
    I thought about using PF rules, though I didn't think I could apply it to groups, I'll have to try that! Could work better because I may need at least 3 VPN groups (general, devs, admin). I'll give this a go today, thanks!

    UPDATE: Just tried it and works like a champ! Thanks for the info!