Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3133 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Security for SSL VPN users

samuel.lao85
Hi guys,

Does web security work for SSL VPN users ? 

I would like to apply this policies for VPN users, I already configured VPN subnet with a profile but it doesn´t work, users can see any website on Internet.
I´m using Transparent with authentication and it is ASG 320 version 7.511

Thanks,


This thread was automatically locked due to age.
  • 0
    The typical mistake is not leaving 'Users/Groups' blank in the 'Filter Assignment'.

    If that's not it, please show pics of Filter, Filter Assignment and Profile.

    Cheers - Bob
  • 0
    Thanks for your reply...

    Ok attached you could see my ASG config. 

    When I´m logged using VPN SSL user, I. Explorer doesn´t show me the authentication window.
  • 0
    OK, so what method are you using to authenticate these users for the SSL VPN?  In the Web Filtering log, are these users identified when they make an access?

    Cheers - Bob
  • 0
    I´m using transparent mode with authentication, attached you could see it.

    When you open a browser, authentication window doesn´t show username and password fields. It shows all websites without any restriction.

    I checked web security logs, I didn´t see traffic from this particular user.

    Also I followed packet filter logs, but don´t see traffic to Internet.
  • 0
    Oh, sorry.

    I´m using local authentication for SSL VPN
  • 0
    Please post a line from the Web Filtering log showing an access from an IP in the 'VPN Pool (SSL)'.

    If anyone accessing via the SSL VPN is allowed to use this profile, then you can leave the 'User/Groups' section blank in the Filter Assignment.

    Cheers - Bob
  • 0
    I didn't see anyone ask this, sorry if I missed it.....what do you have in the Local Networks box in the SSL VPN configuration?  You would need to be running a full tunnel to be able to filter traffic like this for remote users.
  • 0
    Hi guys,

    Sorry for the late response. In the Local Networks I have configured almost all subnets (internal, branches, DMZ for email).

    Are you suggesting that I have to configure also the public subnet (external interface for ASG 320) ?

    guys thanks for your time and help again...
  • 0
    I can´t see SSL IPs in the Web filter log, those IPs don´t appear in logs.

    Now, if I do a tracert command (tracert Google) it jumps directly to the IP public gateway, so I guess this traffic never reach the firewall. On the other hand, if I trace an internal IP from the main office it goes through the firewall.
  • 0
    You're confirming Scott's insight - that you presently have the SSL VPN configured for "split tunnel" and remote users only send internal traffic via the VPN.  You can make the VPN into a full tunnel by adding the "Internet" object to the SSL VPN configuration.

    If I understand correctly how OpenVPN works, I don't believe you need to have users re-download the configuration file.  I think the routing information is pushed to the remote user at sign-on.  Can one of the OpenVPN gurus correct or confirm?

    Cheers - Bob