Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 5494 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN with Static Remote Access IP

DaMaN841
I've been digging into new SSL Profile feature, which I'm very impressed with and cannot wait to utilize, however, I have a few questions. 

Ultimately, I'd really like to be able to control and track Any VPN, however, mostly SSL VPN Users, such that each user would always receive a Static IP Address. These VPN Connections are reported and logged (Web Protection, Network Usage, etc) and an IP Address like 10.242.2.6 is very vague, especially when it could be calculating multiple connections, users or hosts, at different times of the day of course.

After realizing that each SSL Profile will still use the same VPN Pool, I looked under User Definition, and found an option called "Use static remote access IP". Unfortunately, my excitement wore off quickly after I read the Help that stated: "The static remote access IP can only be used for remote access through PPTP, L2TP, and IPsec. It cannot be used, however, for remote access through SSL." OpenVPN does in fact have a feature utilizing ifconfig-push to assign a Static IP to a specific OpenVPN User, so this *could* become a possibility moving forward. (I understand it may become problematic if multiple concurrent connections is enabled, in which case I may need a separate user per host).

With that said, an end goal of mine would be able to assign a Static IP to a User or Host, such that my phone, laptop, and so on would receive the same Static IP it receives when it is on the Local Network, simulating that the device essentially never left. Tracking Host Usage accurately is really important for me, and that includes VPN Traffic.

Any thoughts, advice, or chalk it up as a feature request, I'm all ears.


This thread was automatically locked due to age.
Parents
  • 0
    You would have a Profile with "VPN Pool (SSL)" in 'Allowed networks' and another one for your users in "Internal (Network)."

    The Authentication method would be "Agent."  Filter Assignments would be done in each Profile based on 'Allowed Users/Groups'.

    The default profile defined on the first three tabs of 'Web Filtering' would be the 'Fallback Action' in the Profile.  The default profile would be in Transparent mode and would severly limit the ability to surf.

    That requires the installation of the Authentication Agent on each client.

    Cheers - Bob
    PS Alternatively, you could make a separate Profile for each user by limiting each Profile to one "username (User Network)" - that wouldn't help in Reporting, but you would be able to look at the logs to see whose Profile was used for an access.  Caution, with this approach, Filter Assignments must have 'Allowed Users/Groups' left empty.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    You would have a Profile with "VPN Pool (SSL)" in 'Allowed networks' and another one for your users in "Internal (Network)."

    The Authentication method would be "Agent."  Filter Assignments would be done in each Profile based on 'Allowed Users/Groups'.

    The default profile defined on the first three tabs of 'Web Filtering' would be the 'Fallback Action' in the Profile.  The default profile would be in Transparent mode and would severly limit the ability to surf.

    That requires the installation of the Authentication Agent on each client.

    Cheers - Bob
    PS Alternatively, you could make a separate Profile for each user by limiting each Profile to one "username (User Network)" - that wouldn't help in Reporting, but you would be able to look at the logs to see whose Profile was used for an access.  Caution, with this approach, Filter Assignments must have 'Allowed Users/Groups' left empty.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    I really appreciate the explanation Bob. Unfortunately for me, installing the Authentication Agent on each machine is something I'd rather steer clear of. I can't expect Guests, Phones and locked down work Laptops to install additional software for browsing purposes.

    Hopefully in future releases, there will be an option that will utilize OpenVPN's ability for Static IP's, and the reporting will recognize and resolve the User Account associated, such that it will report a readable name instead of IP. Even then, it's simply a nice to have for Reporting. Until then, if it's important enough, I'll just have to look through the SSL Session Log, pair up the IP's with Web Protection, and cross my fingers and hope that the same IP only has one associated User Account. Not the end of the world by any means.

    Thanks again though. I always enjoy learning unique workarounds. Take care Bob!
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML