Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 5225 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN mehrere interne Netzwerke

JanKlinger
Hallo,
ich möchte per SSL-VPN auf mein Internes Netzwerk zugreifen.
In der Firma habe ich eine Astaro ASG220 mit 6 Netzen stehen ....

Nun folgendes Problem ....
SSL-VPN funktioniert....

Jedoch habe ich eine Gruppe von Benutzern, die
per VPN nur auf einen Server kommen sollen,
eine 2. Gruppe auf ein Netzwerk und eine
3. Gruppe, die alle 6 Netze benötigt ....
Ich möchte hier nicht ständig am Client irgendwelche Routen
pflegen, sondern das per Astaro steuern können ....

ok, nun könnte man immer alle routen pushen lassen,
und per Firewall, nur die ein oder andere Verbindung zulassen.
aber das ist keine lösung, keine saubere.... geht das nicht auch anders ????


mfg.
Jan


This thread was automatically locked due to age.
  • 0
    Die saubere und einzige Lösung ist, alle Netze in der SSL Config anzugeben und dann über das Userobject den Zugriff regeln.  

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    hmm, ja, so hatte ich das ja, bis vpn-user X daher kam, das er mit einer route auf 10.101.0.0 / 16 nichts anfangen kann, da er schon andere netze bei sich hat, die 10.101.***.yyy / 24 haben .... und ihm reicht es, wenn ich ihm 10.101.0.0/24 geben würde .... normal hätte ich gesagt, user, du hast pech, nicht mein problem... aber es gibt user, da kann man soetwas leider nicht sagen ... [:@]
  • 0
    Hmm - wenn es wirklich nur der eine superspezialpoweruserceo ist :-) kann du ihm vielleicht eine leicht abgewandelte *.ovpn Datei unterjubeln.

    Ich habs selber noch nicht gemacht aber laut der openvpn Hilfe kann man doch nach dem ganzen Verbindungsaufbau noch scripts laufen lassen - vielleicht gibts da nen Weg die zuviele Route wieder rauszukloppen.

    Gruß
    Manfred
  • 0
    wenn das so ein spezieller user ist, dann sollte man dem vlt einen ipsec-client spendieren, da kann man pro user die routen vergeben.
  • 0 in reply to folzSupport
    ja, mehr wie speziell der user.... bin heute halb ausgerastet, wegen dem - nein, ipsec währ dann zu einfach - der user nimmt nur ovpn :-/

    das mit der ovpn config hab ich auch schon überlegt, kann ich im ovpn-clientfile sagen, das er die route automatisch setzen soll ????
  • 0
    Hm - also der OpenVPN Server in der ASG benutzt scheinbar du 'push' methode um die Routen an die Clients zu schieben - ich weiß nicht ob man sich dagegen wehren kann.

    Aber mit ein Up Skript das die eine 'falsche' Route wieder löscht, könnte man evtl. hinkommen. Hier mal ein Link zu den möglichen Parametern: OpenVPN 2.2. Ich fürchte, da muß man ein bischen rumprobieren ...

    Gruß
    Manfred
  • 0
    (I apologize - my German-speaking brain is not working. [[;)]])

    M0rphois, you didn't say which group this special user is in.  If he only needs access to a single server, say 10.101.0.1, you could create a NAT rule like 'Any -> Any -> {172.21.0.1} : SNAT to (10.101.0.1}', add {172.21.0.1) to 'Local networks' for the SSL VPN, and then anyone can access the server at 172.21.0.1 instead of 10.101.0.1.

    If he needs access to a complete /24 subnet, then you have a problem this approach can't solve, and Manfred's solution is the only one.

    If this special person is an employee of your corporation, then it sounds like you have a long-term networking proble to solve... or good justification for starting to plan on implementation of IPv6! [[;)]]

    MfG - Bob (Bitte, auf Deutsch weiterhin)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML