Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1169 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN SLL - Users/Group AD - User group network

Yuhe
Hi,

I've setup an ssl vpn, it's working fine. I left the "Automatic Firewall rules" and build my own rules.

I have all kind of users connecting to the ssl vpn. The users are backend users from an AD. There are from different departement and I wish to set the rules for each group and not to have to define the fw rules for each user as I'm doing now. 

How can I set rules using AD group, or at least local group with backend users ? I tried with backend group, it's not working, and I tried with a local group with backend user in it without more success.

What the best way to manage this ?

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    To confirm my memory, I just tried the first approach, with the backend group, and it works fine for me.

    Try this:  

    - Create a new Security Group in AD named JoBob and make Jo and Bob members.
    - Delete the Jo and Bob users in Astaro.
    - On the 'Advanced' tab of 'Authentication Servers', create and add a JoBob backend group to 'Groups' in Prefetch and Apply(!).
    - 'Open the prefetch live log' and press 'Prefetch now', confirming that Jo and Bob are added.
    - In 'Network Security', put a new Firewall rule at the top: 'JoBob (User Group Network) -> Any Internal (Network) : Allow & Log'.
    - Go to 'Remote Access >> SSL', put the JoBob backend group in 'Allowed users', uncheck 'Automatic Firewall rules' and press Apply.
    - Open the Firewall Live Log.
    - From outside the Astaro (a pulic IP), login to SSL Remote Access as Jo or Bob, and access any device in "Internal (Network)."



    Do you see the accesses logged?

    Cheers - Bob
Reply
  • 0
    To confirm my memory, I just tried the first approach, with the backend group, and it works fine for me.

    Try this:  

    - Create a new Security Group in AD named JoBob and make Jo and Bob members.
    - Delete the Jo and Bob users in Astaro.
    - On the 'Advanced' tab of 'Authentication Servers', create and add a JoBob backend group to 'Groups' in Prefetch and Apply(!).
    - 'Open the prefetch live log' and press 'Prefetch now', confirming that Jo and Bob are added.
    - In 'Network Security', put a new Firewall rule at the top: 'JoBob (User Group Network) -> Any Internal (Network) : Allow & Log'.
    - Go to 'Remote Access >> SSL', put the JoBob backend group in 'Allowed users', uncheck 'Automatic Firewall rules' and press Apply.
    - Open the Firewall Live Log.
    - From outside the Astaro (a pulic IP), login to SSL Remote Access as Jo or Bob, and access any device in "Internal (Network)."



    Do you see the accesses logged?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hey, thank you so much Grandis Professorem ! It points me to the mistake !

    - Create a new Security Group in AD named JoBob and make Jo and Bob members.
    - Delete the Jo and Bob users in Astaro.
    - On the 'Advanced' tab of 'Authentication Servers', create and add a JoBob backend group to 'Groups' in Prefetch and Apply(!).
    - 'Open the prefetch live log' and press 'Prefetch now', confirming that Jo and Bob are added.

    That's ok.

    - In 'Network Security', put a new Firewall rule at the top: 'JoBob (User Group Network) -> Any Internal (Network) : Allow & Log'.

    The group doesn't exist in Astaro and can't be selected as "source". I need to create it in user\group, only the users are fetch.
    - users & Groups -> groups -> new group -> jobob -> backend membership -> ADjobob

    - Go to 'Remote Access >> SSL', put the JoBob backend group in 'Allowed users', uncheck 'Automatic Firewall rules' and press Apply.


    Here is the trick !!! I had bob and jo in the remote access allowed user, but not the group ! I removed bob and jo and put the group and now it's working.
    my fault. to remember : the "source" of the rule has to be in the allow remote access...it will not work even with the member in allow remote access...


    - Open the Firewall Live Log.
    - From outside the Astaro (a pulic IP), login to SSL Remote Access as Jo or Bob, and access any device in "Internal (Network)."