Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 1540 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-SSL, selektive Berechtigung

lunnik
Hallo,

folgendes Scenario:
ASG 7.405 mit 3 NICs (Extern, Intern, DMZ)
Hinter Astaro-Intern stehen zwei Server aus dem selben IP-Segment, z.B. Server1 mit der IP x.x.x.1 + Server2 mit x.x.x.2. Server1 hat ActiveDir.
Lokale User: User1+User2

Frage:
Ist es möglich, die zwei User beim Remote Acces über VPN-SSL schon so zu trennen, dass der eine (User1) Server1+Server2 sieht, der zweite (User2) aber nur Server2?

Erklärung:
Ist mir schon klar, dass es am einfachsten wäre, aus den lokalen Usern "remote" zu machen und an dem Server1 mit AD authentifizieren zu lassen, der dann die Berechtigungszuweisung übernimmt. Der Kunde wollte aber erstmal ausloten, ob es auch ohne Backend ginge.
Unter "Remote Acess->SSL" geht es naturgemäß nicht, aber gibt es nicht irgendwo doch noch eine Möglichkeit?

Danke im Voraus!
Lukas


This thread was automatically locked due to age.
Parents
  • 0
    Danke erstmal für die schnelle Antwort!
    War leider paar Wochen krank, anschliessend in Urlaubskur, deshalb noch keine Antowrt von mir. Werde in den nächsten Tagen diesen Lösungsvorschlag mal durchtestet und poste dann hier das Ergebnis.

    Gruß
    lunnik
  • 0 in reply to lunnik
    So, bin wieder da.

    Konnte bis jetzt den Vorschlag nicht testen, zumal der Kunde nur inoffiziell nachgefragt hatte und ich deshalb auch nicht weiterverfolgt habe.
    Die Frage tauchte bei mir selbst wieder auf, nachdem ich heute am Astaro-Webinar teilgenommen habe, wo es um Site-to-Site VPN und Remote Access ging. Wäre für mein Vorhaben, wie oben beschrieben, eine Lösung mittels DNAT/SNAT möglich? Zwei Bilder sagen mehr als tausend Worte:





    Bitte beachten, dass das "Network1"-Objekt unter "Traffic Destination" eine IP-Adresse auf dem externen Interface ist.
  • 0 in reply to lunnik
    Also ich habs bei uns genauso gemacht wie BAlfson vorschlägt. Also im SSL VPN das ganze Netz wo die Server stehen reingepackt und keine auto Packet Filter Rule gemacht, sondern eben über verschiedene Packetfilter den Usern die Zugriffe zugewiesen. Du mußt dann drauf achten, die Netzwerkobjekte 'User xy (Network)' zu nehmen - dem werden automatisch bei der Verbindung die jeweilige Remote IP Adresse zugewiesen. Das ganze kann man dann noch auf User Gruppen erweitern, wenns mehr User sind. Das ganze geht dann auch noch mit dem RSA Server als Backend Auth - kann natürlich auch rein lokal auf der ASG gemacht werden.

    Gruß
    Manfred
Reply
  • 0 in reply to lunnik
    Also ich habs bei uns genauso gemacht wie BAlfson vorschlägt. Also im SSL VPN das ganze Netz wo die Server stehen reingepackt und keine auto Packet Filter Rule gemacht, sondern eben über verschiedene Packetfilter den Usern die Zugriffe zugewiesen. Du mußt dann drauf achten, die Netzwerkobjekte 'User xy (Network)' zu nehmen - dem werden automatisch bei der Verbindung die jeweilige Remote IP Adresse zugewiesen. Das ganze kann man dann noch auf User Gruppen erweitern, wenns mehr User sind. Das ganze geht dann auch noch mit dem RSA Server als Backend Auth - kann natürlich auch rein lokal auf der ASG gemacht werden.

    Gruß
    Manfred
Children
No Data
Unfiltered HTML