Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 8800 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User/Group based SSL-VPN access to specific networks

philwett
Hello community

We have an ASG-220 (8.203) with Full Guard running in place and would like to set up remote access for users to specific networks we have set up inside the ASG.

Networks:
Internal LAN (eth0): 10.1.0.x
XX LAN (eth4) 10.1.1.x
YY LAN (eth5) 10.1.2.x
ZZ LAN (eth6) 10.1.3.x

Groups:
VPN-Internal
VPN-XX
VPN-YY
VPN-ZZ
Users are bound to that groups.


Now I would like to set up the VPN access so the Group VPN-Internal can only access the Internal LAN (10.1.0.x), the VPN-XX can only access the XX LAN (10.1.1.x) and so on.

What I've tried so far but didn't work:

Under Remote Access -> SSL:
- I've put the groups above to the Users and Groups.
- I've put all the networks above to the Local networks
- I've unchecked the Automatic Firewall rules checkbox

Under Network Security -> Firewall:
I've made new rules for every network for example:
Source: VPN Internal (Users Group Network)
Service: Any
Destination: Internal LAN (Network)
Action: Allow


I've I login with a users from the Group Internal LAN I can access the Internal LAN but the others as well? Do I miss something here? I don't think I the masq or NAT to configure that?!


Second questons:
I've got this standard VPN (SSL) pool. Is it possible to have for each network it's own pool? I would like that VPN users who accesses the Internal LAN network get an IP from the DHCP Server for 10.1.0.x. Same thing for the other networks.


Thanks
Phil


This thread was automatically locked due to age.
  • 0
    Phil, what reason do you have for wanting to use separate name servers?  This can't be done practically, but I can't think of a reason to need to do so.

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0
    I think if you want to do so you have to modify the *.ovpn file for the users individually - don't ask me about the 'how' but maybe the OpenVPN website has some usefull hints.

    But as Bob stated above - WHY??? I think there should be a nameserver in place that can resolve all request for each net, or?

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hi Bob & Manfred

    In each of those defined LAN's we've got different Domain Controllers, therefore to resolve the names correctly the VPN users need to get the correct DNS servers from each network.

    Internal: DC's 10.1.0.20 and .21
    XX LAN: DC's 10.1.1.20 and .21
    YY LAN: DC's 10.1.2.20 and .21
    ZZ LAN: DC's 10.1.3.20 and .21


    But Manfred, it's a good hint with the .ovpn file. I think I can define the DNS servers with adding the following to the .ovpn file:

    push "dhcp-option DNS 10.1.0.20"
    push "dhcp-option DNS 10.1.0.21"

    Need to try that.. will let you know.. 

    Phil
  • 0
    Hi Phil,

    so you seem to have a larger AD Forrest - but as I asked: isn't there one (or two) DNS Server that can resolve the names for all Domains? I've no experience with larger forrests - but I think there must be something like that. It would make the hole setup much easier because you don't have to create individual ovpn files. 

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hello Manfred

    The domains are independent to each other. It might be possible to build a dns server which contains information from all domains. But since I don't need such a dns server for other functions, I would like to avoid such a configuration. It would be fine for me to add dns servers manually to the .opvn file.

    I've tested the manually added dns servers to the client .ovpn file. But with no success so far. The dns server will not be set for the connection. Maybe i do something wrong. I probably have to read more about OpenVPN config files.

    Maybe Astaro will allow such configurations with the upcoming 9.x release. Would be nice to have Astaro boxes to use with differend customers environments.

    Cheers
    Phil
  • 0
    I probably got another solution withing Astaro for the DNS problem:

    1) I put VPN Pool (SSL) to the Allowed Networks in Network Services --> DNS
    2) I've added a Request Routing under Network Services --> DNS with xx.domain.com to dcname.xx.domain.com
    3) Under Remote Access --> Advanced I've added the Astaro IP 

    Now I will try to add a Request Routing for every domain to it's corresponding domain controller. 

    Cheers
    Phil
  • 0
    Ahh - also a good idea - if that works it would be a better solution than creating special ovpn files.

    Regards
    Manfred