Ein und der­sel­be AD-Benutzer in mehreren SSL-VPN Profilen

Hallo,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

Good question.  In fact, the user cannot pick a Profile as such.  In a sense, the Profiles are additive.  The best way to think of them is "Which users should have access to the local resources in the Profile?"  Once a user is logged into SSL VPN Remote Access, he will have access to all resources in Profiles where he is listed as a user.  In fact, I prefer to use Backend Groups and to manage users' access in Active Directory.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Bob,

erstmal vielen Dank für deine Antwort, even without the German-speaking brain ;) 

Ich versuche folgendes Szenario abzudecken:

Der Mitarbeiter befindet sich im Homeoffice und möchte per SSH auf AWS verbinden (AWS ist so konfiguriert, dass nur die öffentliche IP unserer Firma akzeptiert wird).

Hier wird ein Tunnel VPN benötigt, d.h. im SSL VPN-Profil muss unter Lokale Netzwerke "Any" eingetragen sein, damit alles an Datenverkehr über die VPN-Verbindung geroutet wird und SSH von unserer öffentlichen Firmen IP ausgeht.  

Wenn der User nun allerdings einen großen Download startet und Webseiten aufruft, läuft der Traffic bei o.g. Konfiguration erst über das Firmennetzwerk, richtig?!

Dies würde erheblichen Netzwerktraffic bedeuten. 

Vielleicht siehst du noch eine andere Möglichkeit dies zu realisieren, aber ich vermute wenn die SSL-Profile additiv funktionieren, ist der SSL-VPN der falsche Weg und es muss wohl eine VM im Firmennetzwerk aufgesetzt werden um SSL Verbindungen nach AWS aufzubauen.

Vielen Dank für deine Mühe Bob.

Gruß!

Hallo Bob,

erstmal vielen Dank für deine Antwort, even without the German-speaking brain ;) 

Ich versuche folgendes Szenario abzudecken:

Der Mitarbeiter befindet sich im Homeoffice und möchte per SSH auf AWS verbinden (AWS ist so konfiguriert, dass nur die öffentliche IP unserer Firma akzeptiert wird).

Hier wird ein Tunnel VPN benötigt, d.h. im SSL VPN-Profil muss unter Lokale Netzwerke "Any" eingetragen sein, damit alles an Datenverkehr über die VPN-Verbindung geroutet wird und SSH von unserer öffentlichen Firmen IP ausgeht.  

Wenn der User nun allerdings einen großen Download startet und Webseiten aufruft, läuft der Traffic bei o.g. Konfiguration erst über das Firmennetzwerk, richtig?!

Dies würde erheblichen Netzwerktraffic bedeuten. 

Vielleicht siehst du noch eine andere Möglichkeit dies zu realisieren, aber ich vermute wenn die SSL-Profile additiv funktionieren, ist der SSL-VPN der falsche Weg und es muss wohl eine VM im Firmennetzwerk aufgesetzt werden um SSL Verbindungen nach AWS aufzubauen.

Vielen Dank für deine Mühe Bob.

Gruß!

One of the unwritten rules here is "one topic per thread" - that's to make it easier for future members to find an answer to a question that's already been answered without starting a new thread.  Using an appropriate title, please ask your new question in a new thread in this forum.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo y4n3x,

das Routing, dass du auf den Profile definierst(Lokale Netzwerke) ist nur rudimentär.

Das heißt Du kannst das Routing auch lokal am Client beeinflussen.
Bei einem Windows Client kannst Du dann via Batch das Routing setzen.

Beispiel in der Eingabeaufforderung:
route add 0.0.0.0 MASK 0.0.0.0 GW für dein VPN Netzwerk -> any Profil

route add 10.x.x.x MASK 255.x.x.x GW für dein VPN Netzwerk -> Split Profil

Wäre ein Ansatz.

Ich habe aber gerade gesehen, dass Du auch ein DNS Objekt in den lokalen Netzwerken definieren kannst.
Ich schätze mal, dass deine Anwender bestimmt ein Namen aufrufen für die SSH Verbindung.
Dann trage doch dies unter den lokalen Netzwerken ein, dann brauchst Du hier kein Any, da die öffentliche IP über den VPN Tunnel angesprochen wird.

Gruß
DKKDG