Gruppen in Firewall Regeln greifen nicht

Question

Hi, 
 
 wir haben einige LAN-LAN VPNs zu unseren Kunden. Die User w&auml;hlen sich mit dem SSL VPN auf die UTM ein und k&ouml;nnen dann auf den Tunnel zum Kunden zugreifen. 
 Ich habe die Tunnel zu den Kunden &uuml;ber Firewallregeln verrechtet, damit nicht jeder User auf jedes Netzwerk zugriff hat. Die User sind in Gruppen und jede Gruppe ist einer Firewallregel zugeortnet. Somit k&ouml;nnte ich ganz einfach die User in die Gruppe "werfen" und schon waren die Rechte gesetzt. 
 Seit einiger Zeit greifen die Rechte nur noch bei den schon vorhanden Usern. Wenn jetzt einen neuen oder alten User einer neuen Gruppe hinzuf&uuml;ge, funktioniert die Firewallregel nicht. Wenn ich den User aber direkt in die Firwallregel einbeinde geht es. 
 Kann mir hier jemand weiterhelfen? 
 UTM SG230 mit aktuelle FW.

DouglasFoster · Answer

Why it does not work: 
 The Firewall subsystem only understands IP addresses, so you cannot use User Groups at all. 
 Additionally, VPN Client connections do not establish a user session. You might expect the VPN client connection to also establish a user identity for web filtering, using Client Authentication mode, but this is not implemented. To do Client Authentication, you have to install and use the Sophos Authentication Agent. 
 The VPN client login activates a "User Network Object", where the username represents the assigned IP address. 
 What will work: 
 You need to create a "Network Group". 
 When you search to add members to the Network Group, you will see "Fritz (User Network Object)" instead of "Fritz". 
 Once your Network Group is created, you can create Firewall Rules that reference it, and everything should work as you intend. 
 
 I hope this translates. I do not know any German.