Allow a remote user access to one LAN IP/node [SOLVED]

I edited to make the setup a little more clear

Clear as mud.  ;P

How are you allowing remote access?  VPN?  If so, what type?  If VPN, did you modify the the VPN Poool addressing?

I then created a firewall rule that only allows access from theSource user

Do you mean the "Username (User Network) object?

LAN DNS and the group containing the IP/hostnames of the server.

What do you mean by LAN DNS?  Do you mean an internal DNS server?

Did you do the ping test and share access by IP, hostname, or FQDN?

Is there a host based firewall on the server that could be blocking the access?  What applicable entries do you see in the firewall log for one of these connection attempts?  Also check the IPS log while you're at it.

How are you allowing remote access? VPN? If so, what type?
     I am testing with a PPTP connection, but the end user will have the Sophos Open VPN Client for access.

Do you mean the "Username (User Network) object?
     Yes, User Network

What do you mean by LAN DNS? Do you mean an internal DNS server?
     Yes, internal DNS, so the remote user can resolve the server name to it's IP

Is there a host based firewall on the server that could be blocking the access? 
     There is a server host firewall, but it is turned off.    It is a Windows FTP Server.

Also, any PC on the network can interact with the server without a problem.
     Any other PC on the network can interact with the server without issue.  Even other VPN connected PCs.

What applicable entries do you see in the firewall log for one of these connection attempts? 
     Firewall Log was not that informative, when I checked, I wasn't able to see the PC trying to browse to any thing, at least in real time.  Eventually there were entries, 2 kinds, Default drop or allowed due to the firewall rule I had created.  But I couldn't perform any action that reflected in an immediate firewall logged response.

Also check the IPS log while you're at it.
     IPS log is empty

I am testing with a PPTP connection, but the end user will have the Sophos Open VPN Client for access.

Why don't we test with the SSL VPN then.  Apples to Apples.

I added some addition questions to my original response, which you must have missed.
Did you modify the the VPN Poool addressing from the default 10.242.X.0?
Did you do the ping test and share access by IP, hostname, or FQDN?

Did you populate the information at Remote Access > Advanced?  Domain Name won't work for for PPTP, but will for SSL.
Does the network that the test client is on and network the server is on have the same addressing?
In the host definition object for the server, did you bind it to a specific interface?
You only have a MASQ rule for Internal(network) to your WAN address, right?

Firewall Log was not that informative, when I checked, I wasn't able to see the PC trying to browse to any thing, at least in real time. Eventually there were entries, 2 kinds, Default drop or allowed due to the firewall rule I had created. But I couldn't perform any action that reflected in an immediate firewall logged response.

Start with the Live Log to see the real time entries (could be a slight delay if the system is under heavy load), can switch to the Full log for more detail.

Also, please click on [Go Advanced] below and attach pics of the SSL Profile open in Edit mode and of the 'Remote Access >> Advanced' page.

Cheers - Bob

Yes, I missed your additional questions, sorry.  I tried connecting via SSL and I can access the servers, all of them.  My test was done with a PC and login account not on the domain, using my test REMOTEUSER SSL account that has the firewall setting of only accessing the one node.  

Did you modify the the VPN Poool addressing from the default 10.242.X.0?
     NO, it is still the 10.242.x.0 ip addressing

Did you do the ping test and share access by IP, hostname, or FQDN?
     I can ping the server.  
     Shared access was tried by each of those methods.

Did you populate the information at Remote Access > Advanced? Domain Name won't work for for PPTP, but will for SSL.
     Yes, Remote Access>Advanced is populated

Does the network that the test client is on and network the server is on have the same addressing?
     I think I understand the your question, I connected to the network from a mobile hotspot to replicate a real world environment.

In the host definition object for the server, did you bind it to a specific interface?
     Not that I'm aware of...

Used in these configurations:
  Network Protection → Firewall → Rules
  Remote Access → PPTP → Global
Used by these objects:
01) Network Protection → Firewall → Rules → Any from REMOTEUSER (User Network) to Contract_Diagnostics
02) Definitions & Users → Users & Groups → Users → REMOTEUSER
 
  Remote Access → PPTP → Global

You only have a MASQ rule for Internal(network) to your WAN address, right?
     We have these rules, plus a few more that aren't used:
Internal (Network) WAN
VPN Pool (PPTP) WAN
        VPN Pool (L2TP) WAN

After 5 mins with the attached PC and me navigating my network (being connected with Open VPN on the REMOTEUSER testing account)  These are the firewall results.

rule 27 is 27
Internal (Network)
Log Traffic

Any Source

Any Destination

10:10:21 Default DROP TCP   10.242.13.6 : 50041→ 192.9.211.220 : 8080 [SYN] len=52 ttl=128 tos=0x00
10:10:24 Default DROP TCP   10.242.13.6 : 50041→ 192.9.211.220 : 8080 [SYN] len=52 ttl=128 tos=0x00
10:10:30 Default DROP TCP   10.242.13.6 : 50041→ 192.9.211.220 : 8080 [SYN] len=48 ttl=128 tos=0x00
10:13:17 Packet filter rule #27 ICMP   192.9.211.240    → 10.242.13.6    len=60 ttl=31 tos=0x00 srcmac=00:13:00:3d:39: b8 dstmac=00:1a:00:37:52:b8
10:13:17 Packet filter rule #27 TCP   192.9.211.240 : 3213→ 10.242.13.6 : 139 [SYN] len=48 ttl=127 tos=0x00 srcmac=00:13:00:3d:39:b8 dstmac=00:1a:00:37:52:b8
10:13:19 Packet filter rule #27 TCP   192.9.211.240 : 3214→ 10.242.13.6 : 139 [SYN] len=48 ttl=127 tos=0x00 srcmac=00:13:00:3d:39:b8 dstmac=00:1a:00:37:52:b8


@BAlfson
     Please see attachments

With that configuration, anyone in the "HolzerUS" or "Weinig" User Group will have full access to all of the subnets listed in 'Local networks'.  See #2 in Rulz to understand why.

If you want your contractor to access only a single device using SSL VPN Remote Access, sync the contractor's user object from Active Directory (so that he can change his password when logged into the server), create a new Remote Access Profile with {contractor} as the only user and the host definition for the server as the only entry in 'Local networks'.  Select 'Automatic Firewall rules' and you're done.  You can download the SSL VPN Configuration zip from the 'Users' tab of 'Users & Groups'.

There is an alternative that doesn't require the installation of a client by the contractor.  Create an HTML5 VPN Portal Connection to that server for {contractor}.  The contractor will then log into the User Portal and have the VPN connection as an option.  The HTML5 VPN option was conceived just for situations like the present one.

Please let us know what approach you chose.

Cheers - Bob

OK, thanks for the response, I few days off and I have finally gotten back to this.  Creating a group and SSL access to only the one IP address resolved the issue.  I can access only the one IP address I wanted with the test account.

That said I will have to look into the HTML5 Portal.  My issue is I don't know the service(s) being used by the application.  What I am doing is allowing access for a contractor to connect and check out a digital key for a Siemens product.

Good to hear you've got it fixed.  [:)]