Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3251 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD-SSO Backend User Group Networks not working in webfilter profiles

edp5242
Hi, 

Does anyone know, if user group networks based on AD-SSO backend users should work with webfilter profiles?


I'm trying to setup two webfilter profiles for the same network interface. 
The second profile is not working if I assign the same network interface to both profiles.
Just the first profile will be applied. I'm aware that the order is decisive.
The next logical step is to separate the profiles with user group networks.
The user group networks are based on AD-SSO backend users.

I'm already using AD-SSO backend user groups in webfilter. 
These are working correctly.
But with AD-SSO backend user group networks I absolutly have no experiences.

I have read that user group networks are working fine in network security firewall and SSL-VPN. Is that right?

My UTM is version 9.106-17.

Thanks in advance for your help.


This thread was automatically locked due to age.
  • 0
    If I understand your question correctly, the answer is, "No." The only practical use of Network objects is when dealing with Remote Access clients. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Bob is correct. The user (group) networks will only serve on remote access. You will also be able to see that no IP-addresses are present for these networks if no-one is logged in through a remote access connection.
    If you do have a remote-access connection you'll see that the network definitions that apply to this logged in user will have (at least one) known IP-addresses.
  • 0
    Thanks to Bob and apijnappels for the quick replies!

    In that case do you know a functioning solution to use two webfilters profiles related to one network interface?
    I don't want to identify all clients by static ip's or static DHCP leases. 
    I have done that a few years ago, that's not practicable for 200 users.

    Thanks!
  • 0
    Perhaps you could "spread" out your current subnet, say that you use 192.168.1.0/24 you could split that up into

    192.168.1.0/25 and
    192.168.1.128/25

    Address 192.168.1.1 - 192.168.1.127 will fall in the first range and 192.168.1.128 - 192.168.1.254 will fall in the last.

    You could also split in smaller chunks

    192.168.1.0/26 (192.168.1.1 - 192.168.1.63)
    192.168.1.64/26 (192.168.1.64 - 192.168.1.127)
    192.168.1.128/26 (192.168.1.128 - 192.168.1.191)
    192.168.1.192/26 (192.168.1.192 - 192.168.1.254)

    Those chunks also don't need to be all the same size you could also do:

    192.168.1.0/25
    192.168.1.128/26
    192.168.1.192/27
    192.168.1.224/27

    If you know how to do binary math and subnetting you can be very creative with this.

    Another possible option if you've got endpoint protection is that you use the endpoint groups to specify your filtering.
  • 0
    Perhaps we should try to find an alternatative solution.
    What are you trying to achieve (what's the reason you need two profiles)?
  • 0
    Forgot to mention, but I think you can use backend membership based on the AD accounts in your policies. You can then just use the AD-groups/users but not the networks associated to them.
  • 0
    Hi,

    it is not possible to use two profiles for Webfilter if the are based on same subnet. 
    BUT why would you use 2 profiles?

    If you filter based on AD Usergroups or single AD Users all will work fine. 
    Have setup those at many sites - and all work fine. 

    Regards,
    Gerald
  • 0
    @apijnappels: Subnet splitting is not practicable for my environment. I don't want to manually distribute ip addresses to the clients.

    @scorpionking/gfreiler: I need two different profiles for the same subnet. One that allows facebook.com and one that prohibits facebook.com.
  • 0
    Thanks to gfreiler! Two filter rules (with ad-backend user groups) in one proxy profile works fine.