Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fest definierte Ziele für eine VPN-Verbindung

Wir wollen, sp. mit v7, für unsere Leute im Außeneinsatz den Zugang mit VPN überarbeiten.

Das beste wäre, wenn sich für jeden die möglichen Ziele hinter der Astaro festlegen lassen würden. Problem ist, dass IP-basierte Regeln ausscheiden. Für zwei, drei Leute würde es funktionieren aber der Rest kommt mit wechselnden IPs.

Oder gibt es doch was, was ich vllt. übersehen habe oder erst ab v7 möglich ist?
-- 
TIA & MfG, Steffen


This thread was automatically locked due to age.
Parents
  • Am einfachsten geht das mit SSL-VPN. Man kann in den FW Regeln die Regel auf User-Basis aufbauen. Wählt sich ein user ein, wird die IP in den Regeln aktualisiert und der User darf nur auf freigegebene Dienste / IPs zugreifen.

    Grüße

    Schroeder
  • Hi Schroeder,

    das ist doch glatt ein Grund mehr, um auf v7 zu gehen... Werde mir da hier wohl mal ein Testszenario bauen müssen, um das zu probieren. Jetzt ist es so, dass die Zugänge an anderer Stelle liegen und halt auf der Astaro für die benötigten Sachen alles von Any kommt.

    -- 
    MfG, Steffen
  • @SChroeder
    das geht auch mit ipsec etc. und auch bereits in der V6.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

Reply Children
  • Hi maygyver,

    dann lass mich mal bitte wissen wie.

    Ich habe momentan nur die Variante mittels PSK probiert, da ich diese ohne Problem mit unserem verwendeten VPN-Client nutzen kann.

    Zum Testen habe ich als erstes unter Remote Keys einen PSK angelegt. Danach habe ich eine IPSec-Verbindung definiert:

    Name: Test
    Type: Standard
    IPSec Policy: 
    APF: Off
    Strict Routing: Off
    LE: Internal
    RE: >>Dynamic IP Address

    Die Advanced Settings habe ich so gelassen, wie sie waren.

    Ohne Angabe von LS konnte ich mich mit meinem Testgerät  (ausm gleichen IP-Kreis) verbinden und bekam in der Vrebindungszeile 2x grün.

    Habe ich aber ein LS in Form eines einzelnen PCs angegeben, dann war essig mit Verbindung.

    Müsste ich da auf RSA oder X.509 umsteigen oder meinst du L2TP over IPSec?

    -- 
    TIA & MfG, Steffen
  • Habe eben nochmal mit L2TP over IPSec gespielt - so gut es eben geht, wenn man es nur aus dem gleichen Netz probieren kann.

    Wäre eine Alternative. Sollte man die dazu benötigten Paketfitlerregeln an den Anfang seiner Regeln setzen? Jetzt ist es so, dass erst ein paar Drop-Regeln kommen. Danach kommen Admin-Regeln gefolgt von Server-Regeln und dann zwischendrin mal VPN-Regeln. Hier nach kommen noch ein paar weitere Regeln...

    Wo würdet die Regeln unterbringen?
    -- 
    MfG, Steffen