Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 5720 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSHL/SSLH - tunnel ssh over ssl

UmbraMalison
Hi,

As my first post, I feel obligated to say what a fantastic solution ASG is for me. 

I am a home user, and so i'm an not surprised that I didn't find any specific answers to the following question, as its unlikely businesses would need or want this function. 
However, I do need to tunnel SSH over SSL in some scenarios so that I can access my home equipment from work which appears to block SSH traffic on any port.

Due to way that an SSH connection starts compared to SSL its very easy to detect a SSH connection on port 443. I used to achieve this with HAPROXY running on my webserver. However, now that I've moved to ASG - I really like having that control in a central space and to make use of ASG's webserver protection.

The is the only feature I've not yet been able to implement in ASG, so my first assumption is that it is possible - i've just missed something.
Or perhaps, it requires a custom rule outside of the webadmin interface.

Please give me some insight on this - (i need it working for tomorrow! [:O] )

Best,

Andy


This thread was automatically locked due to age.
  • 0
    Hi, I'm not really sure how you were doing this before, but have you looked at the SSL VPN service/client in the UTM?

    Barry
  • 0 in reply to BarryG
    Hi, I'm not really sure how you were doing this before, but have you looked at the SSL VPN service/client in the UTM?

    Barry


    This!  The simplest thing to do is implement a proper VPN.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    In fact, one of my standard approaches is to configure the SSL VPN and add "balfson (User Network)" to 'Allowed networks' in 'WebAdmin Settings' and on the 'Shell Access' tab of 'System Settings'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hey,

    Sorry for the delay. I thought i'd get an email. will check my subscription options.

    Thanks for your suggestions.

    So I did go with SSL VPN, and was very surprised to find that it allowed me seemless access. It appears that the restrictions enforced are only protocol based. So I was able to use ports other than typical SSL port (which I could not use as I have webserver protection using that port). This is great for my usage.

    However, I still need a solution to allow gitlab users access to my git repositories.This is where providing people I trust with a gitlab project, access to my home network doesn't compute. What would normally happen is that SSH on the gitlab machine will allow gitlab user, which is configured to use gitlab specific shell, which it turn authenticates the developer etc. So that user isn't necessarily know to the computer running gitlab, or the rest of the network.

    What worked well before was to listen to SSH and SSL connections on port 443, and forwarding respectively.

    Now what I may do is configure a stunnel server or investigate HTTPS for git cloning instead of SSH.

    I'll let you know how I get on if your interested.

    thanks,

    Andy
  • 0
    This isn't solved in the sense that I have not worked out how to implement a SSHL server on ASG

    However this is solved in the sense that I have achieved everything that I need via SSL VPN and using HTTPS modes for git shell access from within a protocol controlled/limited network.

    For those interested in how an SSHL server might be implemented, here is the relevant section of my haproxy config:


    frontend port443
            bind :443
            tcp-request inspect-delay 5s
            acl traffic_is_ssl      req_ssl_ver     gt 0
            tcp-request content accept if traffic_is_ssl    # accept SSL
            use_backend ssl_backend if traffic_is_ssl       # re-route SSL
            use_backend ssh_backend if !traffic_is_ssl      # re-route SSH
                
    backend ssh_backend
            mode tcp
            server ssh :22
            timeout server 2h
            
    backend ssl_backend
            mode tcp
            server ssl :444
            timeout server 2h



    If I knew how to mark a thread as solve or mostly solved I would.

    thanks for all your help.

    Andy
Unfiltered HTML