Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1555 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Restrict SSL Remote Access

rrimmer
Hi,

I believe it is possible to restrict the access for different users over the SSL VPN connection so that certain users can only see certain subnets?

I have tried to configure this but regardless of what I do users seem to have access to all subnets.

I have enabled the User Portal with access from any IP for certain groups of AD users. 


I ahve also enabled the SSL remote access. I have added a few groups of users and two network that are reachable in Local Networks but have unchecked the Automatic Firewall Rules checkbox. 

To then give access I have created firewall rules that allow certain User Group Networks access to certain subnets. 

Despite this when I connect as a test user who is a member of one of the relevant groups the user has access to all subnets when I test using RDP. 

I hope my explanation of the issue makes some sense, does anybody have any ideas as to what I might be doing wrong?

Thanks
Richard


This thread was automatically locked due to age.
  • 0
    It sounds like you're doing everything right.  I know I occasionally forget to hit Apply.  Have you gone back to the SSL VPN page to be certain that 'Automatic firewall rules' is not checked?  Maybe your only recourse is to pop up a Firewall Live Log while connected and start turning on logging in the rules one by one to see which one allows the traffic.

    Cheers - Bob
  • 0
    Thanks Bob,
    Sorry for the delay in re-posting. I have just got back to testing this. 
    It appears that the AD groups are being evaluated incorrectly. When I check the packet filter logs a rule for a group that this user is not a member of is allowing traffic through!
    I have logged a support call with Astaro and will let you know the outcome.
    Richard
  • 0
    Please show a picture of the the rule that's allowing access.  I suspect you're trying to do something that has to be done differently in Astaro.

    If you have an AD-authenticated group "Advanced" and one named "Restricted" in 'Users and Groups' in the SSL configuration, you cannot use "Advanced (User Group Network)" in Firewall rules.  You can use local Network Groups containing things like "Richard (User Network)" though.

    Cheers - Bob