[8.900][FEATURE] Clientless VPN Idea

Did you have ever heard of Adito, now known as OpenVPN-ALS [SourceForge]?

I have used this one some time, and there were a lot of possibility's. Maybe the devs can look at this one to take inspiration?

And will an OTP login supported on the remote logins? This will be a nice piece of security, especially when you have an OTP-Calculator. And what about SmartCard logins?
  • Hi TuxBrother,

    I know it quite well, and I don't like it that much.

    But let me turn the question around, what are you currently missing in our html5 VPN Portal?

    Btw, you can use already OTP tokens.

    Regards
    Gert
  • The ability to use community plugins. And the ability to remap a port. In Adito, I was able to connect a blocked port, via HTTP/S on localhost:. After that, I was able to surf to sites on ports that were blocked, but also use programs to watch videostreams on blocked ports, for example.

    OTP Login is possible? Nice! But do I need to have my own RADIUS server for that, or is it integrated in Astaro? Any tutorials on this one?

    And what about Smartcards?
  • Hi Gert, 

    i've tested quite a lot with it now and i have the following things:

    We are currently missing tunneling functionality for the following reasons:

    IE compatibility 

    faster RDP because the xwindow stuff gets quite slow when there is somewhat more screen activity an 2nd issue with this is that the mouse input is stopped when the connection is slow. this makes it look even more slower.

    i untherstand that there might be a filosophy that only the HTML 5 / Xwindow things will be made available but it might be an idea to make the normal SSL vpn startable and easyly installable via an the user portal. 

    at the moment customers expect an SSL VPN to work like an sonicwall / Juniper SSL vpn so i think some tunneling / local command option would be a good idea.
  • Hi Gert, 

    i've tested quite a lot with it now and i have the following things:

    We are currently missing tunneling functionality for the following reasons:

    IE compatibility 

    faster RDP because the xwindow stuff gets quite slow when there is somewhat more screen activity an 2nd issue with this is that the mouse input is stopped when the connection is slow. this makes it look even more slower.

    i untherstand that there might be a filosophy that only the HTML 5 / Xwindow things will be made available but it might be an idea to make the normal SSL vpn startable and easyly installable via an the user portal. 

    at the moment customers expect an SSL VPN to work like an sonicwall / Juniper SSL vpn so i think some tunneling / local command option would be a good idea.


    The whole point of Clientless VPN is that there is no need to install something, because people will use that one in a restricted environment.
    And yes, remapping a RDP port to localhost via a tunnel, and use the built-in RDP client will be a very nice thing. But as an option, because there are also environments where you don't have such a client, where the web based one will be the way to go.
  • Hi TuxBrother,

    i totally agree with that but, i think customers allso want tunneling next to whats now possbilbe. the biggest problem that i currently see is simply the installation of the client and making it easyer for the user to start for example an RDP session.

    so my idea is: easyly install the client webbased, and initiate things like RDP via the portal when needed. (an script option after connecting the SSL vpn could help to start mstc)
  • Hi TuxBrother,

    i totally agree with that but, i think customers allso want tunneling next to whats now possbilbe. the biggest problem that i currently see is simply the installation of the client and making it easyer for the user to start for example an RDP session.

    so my idea is: easyly install the client webbased, and initiate things like RDP via the portal when needed. (an script option after connecting the SSL vpn could help to start mstc)


    Also, I see it goes with a Java Applet. I won't consider that HTML5.

    If you look at Ericomm ConnectNow, Guacamole, ThinVNC, it is possible to tunnel RDP/VNC over a plain HTML5 page. They make use of an advanced AJAX/JSON technology.

    I have also saw an online SSH-Terminal that didn't depend on Java/Flash.
  • Any updates on the features? What about the port remapping idea? (Remapping a port to a local client without admin rights)
  • Any updates on the features? What about the port remapping idea? (Remapping a port to a local client without admin rights)


    I am not sure if I get what you mean. 
    You want to remap a port from a host behind the ASG to your client
    on the outside? In a way like port forwarding with SSH works?

    Cheers,
    Nils
  • I am not sure if I get what you mean. 
    You want to remap a port from a host behind the ASG to your client
    on the outside? In a way like port forwarding with SSH works?

    Cheers,
    Nils


    No. It is -a kind- of local (Java) daemon that remaps a port, without admin rights, even is a firewall is in between.

    Like 192.168.1.56:119  ASG  localhost:59201 {random}

    The same feature is packed into OpenVPN-ALS and I used it quite a lot.
  • No. It is -a kind- of local (Java) daemon that remaps a port, without admin rights, even is a firewall is in between.

    Like 192.168.1.56:119  ASG  localhost:59201 {random}

    The same feature is packed into OpenVPN-ALS and I used it quite a lot.


    Our architecture can't support that. 
    On the client side we only use Javascript, which does not allow opening local sockets.

    Cheers,
    Nils