Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 571 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN Concept

ManuelKarl
Hello Guys,

we're searching for an alternative way to grant remote access into the lan of one of our customers.
Actually we've dedicated ISDN-routers (Bintec), which are switched on/off via a managable power socket (http instructions to switch on/of the socket itself, so the attached device is on/off). the advantage of this kind is the possibility to grant access to third partys only when they do a phone call before an after (finished), then the line will be switched off an no one have further access. the VPN is' realized via (older) PPTP.

Now we'll switch over to an astaro.
There we have several accounts, the packet filter rules are set to the dedicated accounts (SSL-VPN IP for User A) to grant access via e.g. RDP to an specific host.

So i can set an management-user who enable/disable the corresponding filter rules (so access is possible or not), but that way is' to complicated to handle (the users who should manage this arent very it-addicted [;)] )

Our idea is to connect a switch after the astaro, configure VLANs (2 Port for each network, Astaro---Switch---Subnet X) and enable/disable the internal port ( switch ---- Subnet X) via http requests.

The only Problem is: I don't know which brand have switches where i can enable/disable Ports via http(s) requests ? There must be a possibility to control this ports via an .NET-Application.

Thx in advance,

Manuel aka Umpf


This thread was automatically locked due to age.
Parents
  • 0
    I know alot of switches that can be managed with web interface, but not alot with custom API.

    However.. I was thinking that Astaro Client Authentication might do what you want..

    Here a quote from the documentation :
    "Client Authentication

    Astaro provides an authentication client for Windows so that users directly authenticate at the ASG. This gives you user-based control on web surfing and network traffic by, for example, creating firewall rules based on user networks or group networks. Additionally, wherever possible, IP addresses, hostnames, and the like are replaced by usernames to provide a better readability of reporting data and objects.

    Users who want or should use Client Authentication need to install the Astaro Authentication Agent (AAA) on their client PC. The AAA can be downloaded either via this WebAdmin page or via the User Portal. Note that only users who are within the user group of the Client Authentication configuration will find a download link on their User Portal page."
  • 0 in reply to Vels
    Hello,

    thx for the reply.
    The problem is, that the login users are from other company's (Siemens, AVAYA, some special plant-ingenieurs etc.), so we have no access to this systems and i dont think they will install any software for a vpn connect (except Astaro-SSL-Client or OpenVPN).

    I don't want to authenticate the users itself, i just have to know the corresponding Client-IP (SSL-Pool) to manage my filter-rules.

    The Customer want to control, a) when and b) who is connecting via ssl.
    At the moment they switch on a dedicated ISDN-Router for each client/company, if the router isn't powered on, no one can connect. Such a solution we would prefer for an astaro constellation, but cannot control the switchports as easy as our current power-socket (via HTTP-instructions).
Reply
  • 0 in reply to Vels
    Hello,

    thx for the reply.
    The problem is, that the login users are from other company's (Siemens, AVAYA, some special plant-ingenieurs etc.), so we have no access to this systems and i dont think they will install any software for a vpn connect (except Astaro-SSL-Client or OpenVPN).

    I don't want to authenticate the users itself, i just have to know the corresponding Client-IP (SSL-Pool) to manage my filter-rules.

    The Customer want to control, a) when and b) who is connecting via ssl.
    At the moment they switch on a dedicated ISDN-Router for each client/company, if the router isn't powered on, no one can connect. Such a solution we would prefer for an astaro constellation, but cannot control the switchports as easy as our current power-socket (via HTTP-instructions).
Children
No Data