Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 5120 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Using SSL remote-access VPN and restrict access per-user

BarryG
Hi,

I'm using the SSL remote access VPN for remote-admin purposes.

I also have some less-trusted users that I'd like to give restricted access to one of my home servers (I can put one of it's interfaces in a DMZ if needed).

1. Can I use the automatic Network Definitions for the users to create firewall rules?

2. If not, other than the SSL VPN, which VPN client would be good for both Windows and Mac users?

3. Also, I'd like to be able to make connections TO those users from my home network (from the primary LAN).
Is there a way to get the UTM to update it's DNS entries with their current VPN IPs?
Or to make their VPN IPs static?

Thanks,
Barry


This thread was automatically locked due to age.
  • 0
    Hey, Barry, 

    1. Yes, this works great with objects like "user1 (User Network)"

    2. The SSL VPN works well, but the other Remote Access methods also populate the User Network object.

    3. You can't assign a static IP to an SSL VPN user, so you need to use a NAT rule. If you use a DNAT instead of a Full NAT, you might need to set a route in the client.  Please let us know. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob, 

    re #3...
    NAT to the User Network definition?

    Would I also need to add an additional internal address on the firewall, and DNAT traffic headed to that, redirecting to the User Network definition?

    Thanks!
    Barry
  • 0
    I've used an Additional Address on the Internal interface, but I don't think that's necessary as long as the IP is inside "Internal (Network).

    Yes, like 'DNAT : Internal (Network) -> Any -> {phantom IP} : to user1 (User Network)'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Great.

    Thanks & Happy New Year!

    Barry
  • 0
    Hi,

    I discovered last night that I can create a separate SSL VPN profile for different users, and set different 'local networks' for each profile.

    Is that pretty secure? e.g. the user wouldn't be able to override the routes in the client, right? (because the UTM should enforce the routes)

    Another question: can one put a bunch of user's network definitions into a network group (and use that in a firewall rule)?

    Thanks,
    Barry
  • 0
    Hi Barry,

    the user can add/change/remove the routes on his client machine, but if you have fw rules using the xyz(user network) object I think that's save.

    And yes you can add those 'user network' object to network groups and use them in fw rules.

    Regards
    Manfred
  • 0
    Would be nice if the different SSL VPN profiles could have different compression & encryption options.

    I wonder if editing the compression option in the client config would do anything.

    CPU usage by the VPN is high (50% at 8mbps, with compression On, AES-128-CBC) on my Atom; 
    I'd like to have compression on for admin stuff, but off for downloads, etc.

    Barry
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML