Ein und der­sel­be AD-Benutzer in mehreren SSL-VPN Profilen

Hallo zusammen!

Ich habe erfolgreich zwei SSL-VPN Profile erstellt.

Eines welches nur auf das interne Netz zugreifen kann (Split-VPN) und eines welches zusätzlich auf das externe Netz zugreifen kann (Tunnel-VPN).

Ist es möglich, den AD-Benutzer selbst entscheiden zu lassen, welches SSL-VPN Profil er bei der Verbindung benutzt?

Was ich bisher probiert habe, ist den Benutzer jeweils nur einem Profil zuzuordnen und anschließend in der Hoffnung die *.ovpn-Datei herunterzuladen, sodass diese sich für die beiden Profile unterscheidet. Dies war jedoch nicht der Fall.

Hat jemand eine Idee, wie dieses Szenario zu realisieren ist? 

Gruß!

 

SG125

Firmwareversion: 9.600-5

  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    Good question.  In fact, the user cannot pick a Profile as such.  In a sense, the Profiles are additive.  The best way to think of them is "Which users should have access to the local resources in the Profile?"  Once a user is logged into SSL VPN Remote Access, he will have access to all resources in Profiles where he is listed as a user.  In fact, I prefer to use Backend Groups and to manage users' access in Active Directory.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hallo Bob,

    erstmal vielen Dank für deine Antwort, even without the German-speaking brain ;) 

    Ich versuche folgendes Szenario abzudecken:

    Der Mitarbeiter befindet sich im Homeoffice und möchte per SSH auf AWS verbinden (AWS ist so konfiguriert, dass nur die öffentliche IP unserer Firma akzeptiert wird).

    Hier wird ein Tunnel VPN benötigt, d.h. im SSL VPN-Profil muss unter Lokale Netzwerke "Any" eingetragen sein, damit alles an Datenverkehr über die VPN-Verbindung geroutet wird und SSH von unserer öffentlichen Firmen IP ausgeht.  

    Wenn der User nun allerdings einen großen Download startet und Webseiten aufruft, läuft der Traffic bei o.g. Konfiguration erst über das Firmennetzwerk, richtig?!

    Dies würde erheblichen Netzwerktraffic bedeuten. 

    Vielleicht siehst du noch eine andere Möglichkeit dies zu realisieren, aber ich vermute wenn die SSL-Profile additiv funktionieren, ist der SSL-VPN der falsche Weg und es muss wohl eine VM im Firmennetzwerk aufgesetzt werden um SSL Verbindungen nach AWS aufzubauen.

    Vielen Dank für deine Mühe Bob.

     

    Gruß!

  • In reply to y4n3x:

    One of the unwritten rules here is "one topic per thread" - that's to make it easier for future members to find an answer to a question that's already been answered without starting a new thread.  Using an appropriate title, please ask your new question in a new thread in this forum.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to y4n3x:

    Hallo y4n3x,

    das Routing, dass du auf den Profile definierst(Lokale Netzwerke) ist nur rudimentär.

    Das heißt Du kannst das Routing auch lokal am Client beeinflussen.
    Bei einem Windows Client kannst Du dann via Batch das Routing setzen.

    Beispiel in der Eingabeaufforderung:
    route add 0.0.0.0 MASK 0.0.0.0 GW für dein VPN Netzwerk -> any Profil

    route add 10.x.x.x MASK 255.x.x.x GW für dein VPN Netzwerk -> Split Profil

    Wäre ein Ansatz.

    Ich habe aber gerade gesehen, dass Du auch ein DNS Objekt in den lokalen Netzwerken definieren kannst.
    Ich schätze mal, dass deine Anwender bestimmt ein Namen aufrufen für die SSH Verbindung.
    Dann trage doch dies unter den lokalen Netzwerken ein, dann brauchst Du hier kein Any, da die öffentliche IP über den VPN Tunnel angesprochen wird.

    Gruß
    DKKDG