Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 5492 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN with Static Remote Access IP

DaMaN841
I've been digging into new SSL Profile feature, which I'm very impressed with and cannot wait to utilize, however, I have a few questions. 

Ultimately, I'd really like to be able to control and track Any VPN, however, mostly SSL VPN Users, such that each user would always receive a Static IP Address. These VPN Connections are reported and logged (Web Protection, Network Usage, etc) and an IP Address like 10.242.2.6 is very vague, especially when it could be calculating multiple connections, users or hosts, at different times of the day of course.

After realizing that each SSL Profile will still use the same VPN Pool, I looked under User Definition, and found an option called "Use static remote access IP". Unfortunately, my excitement wore off quickly after I read the Help that stated: "The static remote access IP can only be used for remote access through PPTP, L2TP, and IPsec. It cannot be used, however, for remote access through SSL." OpenVPN does in fact have a feature utilizing ifconfig-push to assign a Static IP to a specific OpenVPN User, so this *could* become a possibility moving forward. (I understand it may become problematic if multiple concurrent connections is enabled, in which case I may need a separate user per host).

With that said, an end goal of mine would be able to assign a Static IP to a User or Host, such that my phone, laptop, and so on would receive the same Static IP it receives when it is on the Local Network, simulating that the device essentially never left. Tracking Host Usage accurately is really important for me, and that includes VPN Traffic.

Any thoughts, advice, or chalk it up as a feature request, I'm all ears.


This thread was automatically locked due to age.
  • 0
    the same Static IP it receives when it is on the Local Network

    That isn't workable.  About the best I can imagine would be to define an Additional Address "DaMaN" on the Internal interface and a NAT rule like 'SNAT : DaMaN (User Network) -> Any -> Internal (Network) : from DaMaN (Address)'.

    Even then, I wonder if you wouldn't get more of what you want with authorization in Web Filtering.  What host usage are you wanting to track?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I suppose I would simply like to see more than just a Dynamic IP address for SSL VPN Users. It would be nice to assign a Static IP to an SSL User so we can assign a name to that VPN Pool IP.

    One example of what I'm attempting to track is essentially the data provided when you view Web Protection. It's also part of the Daily Generated Report Email. E.g. Top 10 Users by Traffic / Time. Network Usage can also be tracked, however, it's  a bit less polished. 

    I understand that we can track VPN Usage specifically, however, when viewing Web Protection, IP's from VPN Pools can be very misleading.
  • 0
    If you don't have an Active/e-/Apple * Directory server, then maybe you can get what you want with the Agent.  Just make a Profile with Agent authentication that duplicates your current settings, and then tighten down the current settings so that no one wants to use the default.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I'm not quite sure I follow. Profiles do not seem to allow the configuration of anything besides User / Group and which Networks those Users / Groups are allowed to access. Also seems they would all be part of the same VPN Pool. Any elaboration would be appreciated. Thanks!
  • 0
    You would have a Profile with "VPN Pool (SSL)" in 'Allowed networks' and another one for your users in "Internal (Network)."

    The Authentication method would be "Agent."  Filter Assignments would be done in each Profile based on 'Allowed Users/Groups'.

    The default profile defined on the first three tabs of 'Web Filtering' would be the 'Fallback Action' in the Profile.  The default profile would be in Transparent mode and would severly limit the ability to surf.

    That requires the installation of the Authentication Agent on each client.

    Cheers - Bob
    PS Alternatively, you could make a separate Profile for each user by limiting each Profile to one "username (User Network)" - that wouldn't help in Reporting, but you would be able to look at the logs to see whose Profile was used for an access.  Caution, with this approach, Filter Assignments must have 'Allowed Users/Groups' left empty.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I really appreciate the explanation Bob. Unfortunately for me, installing the Authentication Agent on each machine is something I'd rather steer clear of. I can't expect Guests, Phones and locked down work Laptops to install additional software for browsing purposes.

    Hopefully in future releases, there will be an option that will utilize OpenVPN's ability for Static IP's, and the reporting will recognize and resolve the User Account associated, such that it will report a readable name instead of IP. Even then, it's simply a nice to have for Reporting. Until then, if it's important enough, I'll just have to look through the SSL Session Log, pair up the IP's with Web Protection, and cross my fingers and hope that the same IP only has one associated User Account. Not the end of the world by any means.

    Thanks again though. I always enjoy learning unique workarounds. Take care Bob!
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML