Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verify SSL VPN user profile

Situation:

We have different SSL VPN profiles. One for our regular users, one for our system administrators. The system administrator profile has obviously more permissions than the regular users. However, system admins are not be able to connect to the management vlan for example. When I take a look into the firewall logs the packets are dropped by the default drop so no rule matches. Of course I have automatic firewall rules checked at the profiles. 

Is there a way to verify that the user is connected to the right VPN profile? From this point this is most likely the error code.


This thread was automatically locked due to age.
  • Is the Management VLAN included in the Local Networks of the administrators profile?

    I've no idea how many admins tested this from how many different locations, but are you using a common subnet for the management VLAN like 192.168.0 or 192.168.1?  If the remote side addressing is the same, you'll have routing issues.

    The profile used isn't logged, but it should not be an issue if you make certain that the user accounts in the administrators profile are not also in the regular users profile.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • The management network is configured in the local networks. I asked another admin today and his VPN is working fine to all networks.

    It's not a routing issue, origin subnet is different than. Seems like a user issue  so I'll troubleshoot this further and let you know the results.
  • It appears that Sophos does not know that I am a member of the admin group. So the wrong VPN profile is connected. I've added myself as user directly to the VPN profile and from now I am be able to connect the management vlan. 

    The permissions are given via Active Directory group called VPN_ADMIN_USERS:
    Group type: Backend membership
    Backend: Active Directory
    Limit to backend group is checked. 
    LDAP string is correct for sure (mapped via GUI-->Users & Groups-->Groups-->Browse)
  • Interesting!  Vwijhe, are you telling us that you are in two different Backend Groups in two different SSL VPN Profiles but that adding your User object to one Profile causes that one to be selected over the other when you connect?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • There are two (actually even three) backend groups configured. My user is only member of one group but that connection is not recognized. Now I've added the automatically created user to the vpn profile and now it works.

    I think it's a software bug?
  • I have this working at many client sites, so I suspect that it's a configuration issue.  What happens when you go to the 'Servers' tab in 'Definitions & Users >> Authentication Services' and test with your username/password - do you show as a member of the expected group?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA