Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 2840 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

restrict full VPN access to domain member machines

divehawaii
Hello,

Testing a UTM 220 for the office to replace an ASA. At the current time, we restrict which machines can make VPN connections, not portal, to our network to require a domain machine connecting via IPsec to have a valid AD comp cert.  

Sophos pre-sales this is not supported but I find it hard to believe corps would allow any machine to make a VPN connection or at least have the option to control it.  

So basically I would like to run two different remote connections: 1. portal for access from any machine using radius/RSA connection for OWA, SharePoint and the like.  2. VPN, IPsec or SSL that would require the machine be a part of our AD domain or have active cert with radius/RSA for user to have full access to network.

Similar thread from years ago https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54605

Thoughts?


This thread was automatically locked due to age.
  • 0
    Hi, diver, and welcome to the User BB!

    For #1, I would use Webserver Protection with Reverse Authentication.

    For #2, I don't understand "would require the machine be a part of our AD domain or have active cert with radius/RSA for user to have full access to network."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello Bob and thanks for the reply.  

    Basically, Cisco and the TMG products would integrate with Active Directory and Certificate Services.  A machine trying to connect with an IPSec VPN connection would have two forms of authentication.  The first, the firewall would verify the connection machine had a valid certificate or domain account on the Active Directory domain.  Second, if the machine did it would prompt the user for their logon creds via RSA/RADIUS or you could use an local or AD user account.  

    The main point is can the UTM verify a connection machine is active in Active Directory for connection.
Unfiltered HTML