Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 1538 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-SSL, selektive Berechtigung

lunnik
Hallo,

folgendes Scenario:
ASG 7.405 mit 3 NICs (Extern, Intern, DMZ)
Hinter Astaro-Intern stehen zwei Server aus dem selben IP-Segment, z.B. Server1 mit der IP x.x.x.1 + Server2 mit x.x.x.2. Server1 hat ActiveDir.
Lokale User: User1+User2

Frage:
Ist es möglich, die zwei User beim Remote Acces über VPN-SSL schon so zu trennen, dass der eine (User1) Server1+Server2 sieht, der zweite (User2) aber nur Server2?

Erklärung:
Ist mir schon klar, dass es am einfachsten wäre, aus den lokalen Usern "remote" zu machen und an dem Server1 mit AD authentifizieren zu lassen, der dann die Berechtigungszuweisung übernimmt. Der Kunde wollte aber erstmal ausloten, ob es auch ohne Backend ginge.
Unter "Remote Acess->SSL" geht es naturgemäß nicht, aber gibt es nicht irgendwo doch noch eine Möglichkeit?

Danke im Voraus!
Lukas


This thread was automatically locked due to age.
  • 0
    In SSL, dürfen Server1 und Server2 in 'Local Networks' allein stehen?

    Auch in SSL, 'Automatic packet filter rules' nicht klicken, und dann einige Regeln selber machen.  Z.B.,

    #7 User2 (Network) -> Any -> Server1 : Drop
    #8 VPN Pool (SSL) -> Any -> Internal (Network) : Allow



    Mit lokalen Usern ist nichts möglich ohne dass die Servers in einem Netz auf einer verschiedenen Schnittstelle sind.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Danke erstmal für die schnelle Antwort!
    War leider paar Wochen krank, anschliessend in Urlaubskur, deshalb noch keine Antowrt von mir. Werde in den nächsten Tagen diesen Lösungsvorschlag mal durchtestet und poste dann hier das Ergebnis.

    Gruß
    lunnik
  • 0 in reply to lunnik
    So, bin wieder da.

    Konnte bis jetzt den Vorschlag nicht testen, zumal der Kunde nur inoffiziell nachgefragt hatte und ich deshalb auch nicht weiterverfolgt habe.
    Die Frage tauchte bei mir selbst wieder auf, nachdem ich heute am Astaro-Webinar teilgenommen habe, wo es um Site-to-Site VPN und Remote Access ging. Wäre für mein Vorhaben, wie oben beschrieben, eine Lösung mittels DNAT/SNAT möglich? Zwei Bilder sagen mehr als tausend Worte:





    Bitte beachten, dass das "Network1"-Objekt unter "Traffic Destination" eine IP-Adresse auf dem externen Interface ist.
  • 0 in reply to lunnik
    Also ich habs bei uns genauso gemacht wie BAlfson vorschlägt. Also im SSL VPN das ganze Netz wo die Server stehen reingepackt und keine auto Packet Filter Rule gemacht, sondern eben über verschiedene Packetfilter den Usern die Zugriffe zugewiesen. Du mußt dann drauf achten, die Netzwerkobjekte 'User xy (Network)' zu nehmen - dem werden automatisch bei der Verbindung die jeweilige Remote IP Adresse zugewiesen. Das ganze kann man dann noch auf User Gruppen erweitern, wenns mehr User sind. Das ganze geht dann auch noch mit dem RSA Server als Backend Auth - kann natürlich auch rein lokal auf der ASG gemacht werden.

    Gruß
    Manfred
  • 0
    Lunnik, da hast Du ein anderes Scenario; im ersten standen die beide Servers zu User1 zur Verfügung.  Im neuen, ich vermute dass 'Internal (Network)' statt 'Network1 (Address)' stehen sollte, aber dieses Verfahren ist nicht sehr elegant - Alle notwendigen Routes werden schon vom Astaro geschaffen, also braucht man nur Paketfilterregeln um durchzukommen.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML