Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1167 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN SLL - Users/Group AD - User group network

Yuhe
Hi,

I've setup an ssl vpn, it's working fine. I left the "Automatic Firewall rules" and build my own rules.

I have all kind of users connecting to the ssl vpn. The users are backend users from an AD. There are from different departement and I wish to set the rules for each group and not to have to define the fw rules for each user as I'm doing now. 

How can I set rules using AD group, or at least local group with backend users ? I tried with backend group, it's not working, and I tried with a local group with backend user in it without more success.

What the best way to manage this ?

Thank you


This thread was automatically locked due to age.
  • 0
    Hi, Yuhe, and welcome to the User BB!

    As of today, AD-SSO only applies with the Web Proxy, and does not affect the Astaro User objects synced from AD.  Those two authentication methods function separately, and do not depend on each other at all.

    However, when the Synced Users login to a Remote Access method (like SSL), their respecive "Username (User Network)" object should be populated with the "VPN Pool (SSL)" IP assigned to it.

    What did you try that wasn't successful?

    Cheers - Bob
  • 0
    Hi,

    ... and you can create groups of users and use the group (network) object in the pf rules.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Thanks for your answer.. I think I was'nt clear.. 

    Let's I've got 2 sales man : jo and bob 3 dev : dev1,dev2,dev3 (who cares about the dev name afterall [:$]) working from home

    All the users jo,bob,dev1,dev2,dev3 are user from AD, they are automatically create by connecting to user portal for instance.

    They are connecting with SSL VPN to the office.

    rules are : 
    jo -> dns ->dns_server
    jo-> any -> sales_server
    bob -> dns ->dns_server
    bob -> any -> sales_server
    dev1 -> dns ->dns_server
    dev1 -> any -> dev_server
    dev2 -> dns ->dns_server
    dev2 -> any -> dev_server
    dev3 -> dns ->dns_server
    dev3 -> any -> dev_server

    This rules work as expected, each guy has access to whatever he needs and nowhere else.

    Now I want to have this rules instead :

    GroupSales -> dns -> dns_Server
    GroupSales -> any -> sales_server
    GroupDev -> dns ->dns_server
    GroupDev -> any -> dev_server


    I tried 2 things here :

    1) 
    New group: AD_sales_Group -> backend membership-> limit to backend group -> with bob and jo in an AD group : AD_sales_Group
    rule:
    AD_sales_Group-> dns -> dns_Server
    AD_sales_Group -> any -> sales_server

    No success.

    2) 
    New group  : L_Sales_Group -> static member -> with bob and jo local synchronised user

    rule:
    L_Sales_Group-> dns -> dns_Server
    L_Sales_Group -> any -> sales_server

    Still no success.

    Maybe that's not the way it was meant to be used...
  • 0
    To confirm my memory, I just tried the first approach, with the backend group, and it works fine for me.

    Try this:  

    - Create a new Security Group in AD named JoBob and make Jo and Bob members.
    - Delete the Jo and Bob users in Astaro.
    - On the 'Advanced' tab of 'Authentication Servers', create and add a JoBob backend group to 'Groups' in Prefetch and Apply(!).
    - 'Open the prefetch live log' and press 'Prefetch now', confirming that Jo and Bob are added.
    - In 'Network Security', put a new Firewall rule at the top: 'JoBob (User Group Network) -> Any Internal (Network) : Allow & Log'.
    - Go to 'Remote Access >> SSL', put the JoBob backend group in 'Allowed users', uncheck 'Automatic Firewall rules' and press Apply.
    - Open the Firewall Live Log.
    - From outside the Astaro (a pulic IP), login to SSL Remote Access as Jo or Bob, and access any device in "Internal (Network)."



    Do you see the accesses logged?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hey, thank you so much Grandis Professorem ! It points me to the mistake !

    - Create a new Security Group in AD named JoBob and make Jo and Bob members.
    - Delete the Jo and Bob users in Astaro.
    - On the 'Advanced' tab of 'Authentication Servers', create and add a JoBob backend group to 'Groups' in Prefetch and Apply(!).
    - 'Open the prefetch live log' and press 'Prefetch now', confirming that Jo and Bob are added.

    That's ok.

    - In 'Network Security', put a new Firewall rule at the top: 'JoBob (User Group Network) -> Any Internal (Network) : Allow & Log'.

    The group doesn't exist in Astaro and can't be selected as "source". I need to create it in user\group, only the users are fetch.
    - users & Groups -> groups -> new group -> jobob -> backend membership -> ADjobob

    - Go to 'Remote Access >> SSL', put the JoBob backend group in 'Allowed users', uncheck 'Automatic Firewall rules' and press Apply.


    Here is the trick !!! I had bob and jo in the remote access allowed user, but not the group ! I removed bob and jo and put the group and now it's working.
    my fault. to remember : the "source" of the rule has to be in the allow remote access...it will not work even with the member in allow remote access...


    - Open the Firewall Live Log.
    - From outside the Astaro (a pulic IP), login to SSL Remote Access as Jo or Bob, and access any device in "Internal (Network)."
  • 0
    Thanks for posting back!

    Cheers - Bob