Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 8798 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User/Group based SSL-VPN access to specific networks

philwett
Hello community

We have an ASG-220 (8.203) with Full Guard running in place and would like to set up remote access for users to specific networks we have set up inside the ASG.

Networks:
Internal LAN (eth0): 10.1.0.x
XX LAN (eth4) 10.1.1.x
YY LAN (eth5) 10.1.2.x
ZZ LAN (eth6) 10.1.3.x

Groups:
VPN-Internal
VPN-XX
VPN-YY
VPN-ZZ
Users are bound to that groups.


Now I would like to set up the VPN access so the Group VPN-Internal can only access the Internal LAN (10.1.0.x), the VPN-XX can only access the XX LAN (10.1.1.x) and so on.

What I've tried so far but didn't work:

Under Remote Access -> SSL:
- I've put the groups above to the Users and Groups.
- I've put all the networks above to the Local networks
- I've unchecked the Automatic Firewall rules checkbox

Under Network Security -> Firewall:
I've made new rules for every network for example:
Source: VPN Internal (Users Group Network)
Service: Any
Destination: Internal LAN (Network)
Action: Allow


I've I login with a users from the Group Internal LAN I can access the Internal LAN but the others as well? Do I miss something here? I don't think I the masq or NAT to configure that?!


Second questons:
I've got this standard VPN (SSL) pool. Is it possible to have for each network it's own pool? I would like that VPN users who accesses the Internal LAN network get an IP from the DHCP Server for 10.1.0.x. Same thing for the other networks.


Thanks
Phil


This thread was automatically locked due to age.
  • 0
    Hi Phil,

    I think you have to define separate Packetfilterrules for each destination network. Something like:
    Source: VPN-xx(Users Group Network)
    Service: Any
    Destination: XX LAN (Network)
    Action: Allow

    and so on. You can check what PF Rule allows the traffic in the PF Log - maybe there is another rule that allows the traffic. 

    Regards
    Manfred
  • 0
    Hi, Phil, and welcome to the User BB!

    In fact, as Manfred says, your configuration looks OK.

    I've I login with a users from the Group Internal LAN I can access the Internal LAN but the others as well?

    If you mean that you can ping things in the other networks, then that's configured on the ICMP tab of Firewall.  If you mean something else, please specify.

    I've got this standard VPN (SSL) pool. Is it possible to have for each network it's own pool? I would like that VPN users who accesses the Internal LAN network get an IP from the DHCP Server for 10.1.0.x. Same thing for the other networks.

    No, you should use the standars VPN Pool (SSL).  Normally, each user will get assigned the same IP, but, in any case, there's no practical gain from putting different users into separate subnets as you can control the group's access with the (User Group Network) objects.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, Phil, and welcome to the User BB!

    No, you should use the standars VPN Pool (SSL).  Normally, each user will get assigned the same IP, but, in any case, there's no practical gain from putting different suers into separate subnets as you can control the group's access with the User Group Network objects.
    Thanks
    Cheers - Bob


    Hi Bob,

    I ran in exactly the same problem. And the assigened IP address to the client was not always the same.
    Could you please explain in more details how you can control it via User Group Network?

    If I understand Phil correctly users-xx need access to LAN-xx and user-yy need access to LAN-yy.

    Thanks
    Stefan
  • 0
    Hi Stefan,

    the magic does happen after a user has successfully opened the ssl-vpn connection and got an ip adress from the configured IP Pool. ASG transfers the assigned ip adress to the User (Network) Object and if the user is member of a group the group (Network) object knows about the currently assigned ip adresses. So you can use the User(Network) or the Group(Network) obejects to create granular paketfilter rules.

    That is also a point to look at - does the User(Network) Objekt get the ip address of the connected client?

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hi

    the magic does happen after a user has successfully opened the ssl-vpn connection and got an ip adress from the configured IP Pool. ASG transfers the assigned ip adress to the User (Network) Object and if the user is member of a group the group (Network) object knows about the currently assigned ip adresses. So you can use the User(Network) or the Group(Network) obejects to create granular paketfilter rules.

    Regards
    Manfred


    Hi, well I belive I found now an answer when using NAT. Creating a SNAT allows to take a user/group as a source network. And then, you will be able to access the certan LAN'S based on user/groups.

    I tried it originally other way round. Create an user and try to attach an IP address. According to the manual, this does not work for SSL VPN, only for L2TP.

    Without NAT, I don't have any idea where the mapping between the user and IP address can be done. And if I see the openvpn webpage, it looks like that this is an existing feature.
    Cheers,
    ciscoman
  • 0
    Ciscoman, Say you have Active Directory with two Security Groups: SSL-US and SSL-DE.  In Astaro, you create two Backend Groups with each limited to one of the AD Security Groups: "US Team" and "DE Team".

    When you create these Astaro definitions, WebAdmin creates a network object for each: "US Team (User Group Network") and "DE Team (User Group Network)".  In 'Remote Access >> SSL', you include "US Team" and "DE Team" in 'Users and Groups'.

    Once a user logs into the SSL VPN, his assigned IP will be mapped to either "US Team (User Group Network)" or "DE Team (User Group Network)".  That's why you can use "US Team (User Group Network) and "DE Team (User Group Network)" in Firewall (Packet Filter) rules to determine which Team can access specific networks.  For example:

    US Team (User Group Network) -> Any -> US Team Infrastructure : Allow



    Make sense now?

    Cheers - Bob
    (Corrected per hallowach's post below.)
  • 0 in reply to BAlfson

    When you create these Astaro definitions, WebAdmin creates a network object for each: "US Team (User Group Network) and "DE Team (User Group Network)".  In 'Remote Access >> SSL', you include "US Team (User Group Network) and "DE Team (User Group Network)" in 'Users and Groups'.


    Hi Bob,

    are you sure about this point? I've used the "US Team" and "DE Team" Group Objects (not the '(User Group Network)' ) in the allowed Users and the '(User Group Network)' Objects in the paketfilter rules. I think you cannot drag&drop the network objects into that section.

    Regards
    Manfred
  • 0
    Thanks, Manfred, I was multi-tasking and copied the wrong text. I'll go fix that now. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    Hello

    Thanks for the answers!

    @Bob:
    Yes i've tried only to ping the Gateway (ASG) IP of the other LAN's and I've got response. Your explanation about ICMP on Firewall makes totally sense! 

    It seems I was on the right direction to set up this. I will tests this again... 

    @Stefan
    Yes, users-xx only should have access to lan-xx and users-yy only should have access to lan-yy and so on. 

    @All
    How do I set up DNS settings? In the Remote Access (SSL) tab I can specify DNS Servers. But I assume this will be for all SSL-VPN connections the same. Since I'm using in each LAN different DNS Servers (different AD-Servers, but DHCP for every networks comes from ASG). 
    How can I give the SSL-VPN users who accessing the LAN-xx the DNS servers from LAN-xx and users from LAN-yy the DNS servers from LAN-yy?

    Thanks
    Phil
  • 0 in reply to philwett
    The rule does work actually. When logging in with a user from group lan-yy i'm now only be able to access lan-yy servers. The problem was only because I only was try to ping the firewall interface. Thanks Bob for this hint!!!


    I would be glad if someone can tell me how to set up the dns settings like i've described in my previous post.

    Thanks a lot
    Phil