Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2220 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN pool bug (or feature?)

gartoffel
Well, it's me again, hi guys!

I promise, I won't bother you anymore (or at least not that much) once the evaluation of the units is done, but right now I need to know whether the following behavior is a bug or a feature:

I added two VPN IPSec connections. They are quite simple:

  • COMPANY1: Policy states, that they can connect to external IP A using X.509 as authentication method, XAUTH is enabled. They should get an IP out of POOL_COMPANY1 (10.5.111.0/24) and then be able to connect to VLAN1 (10.5.110.0/24).
  • COMPANY2: Policy states, that they can connect to the same external IP A using X.509 as authentication method, XAUTH is also enabled. They on the other hand should get an IP out of POOL_COMPANY2 (10.5.121.0/24) and then connect to a VLAN2 (10.5.120.0/24).

So far so good, everything works great (StrongSwan's doing a great job here *wink*).

Scenario
Let's say I have a user "support". He helps COMPANY1 and COMPANY2 maintain their servers. So he set up two policies on his computer - one to be able to connect to remote VLAN1 and one to remote VLAN2.

Expected result
What I expected to happen was that this user "support" gets an IP out of POOL_COMPANY1 when connecting using the policy of COMPANY1. And that he gets another IP out of POOL_COMPANY2 when connecting using the policy of COMPANY2.

Actual result
What I get is this: No matter with what policy I connect, I always get the same IP out of POOL_COMPANY1. It's like Astaro is caching my VPN mode_cfg answer which is really annoying in my case.

Bug or a feature, that is the question?

Cheers and thanks,
Manuel


This thread was automatically locked due to age.
Parents
  • 0
    Manuel, I hope you keep it and keep asking (and answering!) good questions!

    I hadn't considered whether it was possible to have a user use different access rules based on policy, rather than a different username for each policy.  Do you have the 'Strict policy' box checked in each of the two policies?

    Cheers - Bob
Reply
  • 0
    Manuel, I hope you keep it and keep asking (and answering!) good questions!

    I hadn't considered whether it was possible to have a user use different access rules based on policy, rather than a different username for each policy.  Do you have the 'Strict policy' box checked in each of the two policies?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hi Bob

    Thanks for your input!
    I hadn't considered whether it was possible to have a user use different access rules based on policy, rather than a different username for each policy.

    Well, but you have to agree that in my scenario it is fair to say that a multi-policy distinction makes more sense than one based on the user. After all, it's the same person connecting to the unit, so let him use his one and only username ;-).

    Do you have the 'Strict policy' box checked in each of the two policies?

    To be honest: I guess. But would that make much of a difference considering the mode_cfg behavior?
    Sidenote: Right now, I'm packing my bags because I'll be on vacation until july 14th. No network lab, no bugs, just me (thinking about the network lab and bugs *smirk*). When I'm back, I'll let you know subito.

    I hope you keep it

    Yes, we decided to. Let's hope for the best...

    Cheers and have a nice week,
    Manuel