Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN bound to user name

Hello,

we use two different user names for connection of our employees with SSL VPN client. One with domain name, authenticated against Windows AD and without network restrictions. For corporate computers. And second one, authenticated locally, for connection from home computers with restriction to RDP and couple of other ports.

Now we realized, that user can use home VPN with domain account and then there is no restriction for ports. My question is: how can we bound certificate in SSL VPN installation/configuration package to particular user name in ASG? So as user can use only one user name for authentication.

Thanks in advance for any help or suggestion.

Regards,
Jan


This thread was automatically locked due to age.
  • Now we realized, that user can use home VPN with domain account and then there is no restriction for ports.

    Please show a picture or list logfile lines demonstrating this.  How are you trying to  limit home users?

    Cheers - Bob
  • Please show a picture or list logfile lines demonstrating this.  How are you trying to  limit home users?

    Cheers - Bob


    The problem is not with packet filter. Problem is with VPN client or ASG authentication configuration.

    Our process is as follows:
    1. user gets his installation package downloaded from user portal for locally authenticated account. e.g. HOME_username
    2. user can install this client on home computer and use his account HOME_username
    3. user HOME_username has access only to HTTP and RDP ports within corporate network.

    1. user gets notebook with preinstalled VPN client downloaded from user portal for his domain account. E.g. CORP_username
    2. user can use his domain account to authenticate with VPN and then there is no packet filter. So he can access e.g. file shares (SMB protocol).

    Problem is: user can use his domain account for authentication with home VPN and then there is no restriction for ports. Because this restriction applies only to HOME_username account.

    Question is: how can I force user to use only HOME_username account for home VPN?
  • Ahh, OK, now I understand, Jan.

    Question is: how can I force user to use only HOME_username account for home VPN?

    Are these employees allowed to use their laptops from home?  If so, you can't with the current setup.  Even then, a determined user will be able to cheat, so there should be a policy in place from the head of the company that cheating is an offense that can lead to termination.

    Is your goal to limit access to only your internal webserver and the user's desktop unless using their work-supplied laptop?  Are you willing to change the SSL VPN setup, not allow VPN users to get configurations from the User Portal and to make either work laptops or home PC users access via L2TP/IPsec?

    Cheers - Bob