Ciao a tutti, sono nuovo..
da una prima ricerca non ho trovato risultati per il mio problema:
ho una vpn site to site tra un pix 515 ed un 501 (entrambi 6.3(5)),
la vpn funziona correttamente, ma non so come filtrare il traffico che la attraversa, ovvero vorrei creare opportune regole per consentire l'accesso ai servizi delle macchine che utilizzano il tunnel e BLOCCARE tutto il resto, come del resto accade per i vpn client (il cui traffico viene filtrato dalle acl dell'interfaccia outside).
Allo stato attuale, le macchine della sede A raggiungono in vpn tutte le porte aperte delle macchine della sede B.
Grazie per l'aiuto
Den
ACL su traffico VPN su PIX \ ASA
Moderatore: Federico.Lagni
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Devi togliere il comando "sysopt connection permit-ipsec" e a quel punto gestire tutte le connessioni dalle acl sulle interfaccie
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- n00b
- Messaggi: 4
- Iscritto il: lun 24 nov , 2008 3:23 pm
E' esattamente ciò che risolve il mio problema, grazie!
Non capisco perchè il traffico generato dalle vpn software realizzate con il client di Cisco sia invece gestito dalle acl anche con il comando "sysopt connection permit-ipsec" attivo...
Non capisco perchè il traffico generato dalle vpn software realizzate con il client di Cisco sia invece gestito dalle acl anche con il comando "sysopt connection permit-ipsec" attivo...
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Questa cosa mi è nuova...Non capisco perchè il traffico generato dalle vpn software realizzate con il client di Cisco sia invece gestito dalle acl anche con il comando "sysopt connection permit-ipsec" attivo...
Sinceramente nn lo so...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- Cisco fan
- Messaggi: 54
- Iscritto il: mer 09 ott , 2013 4:33 pm
- Località: Cusano Milanino
le crypto acl sono una cosa....e si fanno in permit ip solo perchè identificano il traffico da inserire nel tunnel,poi ti filtri il traffico con le access-list "normali" sulle interfacce.den ha scritto:Ciao a tutti, sono nuovo..
da una prima ricerca non ho trovato risultati per il mio problema:
ho una vpn site to site tra un pix 515 ed un 501 (entrambi 6.3(5)),
la vpn funziona correttamente, ma non so come filtrare il traffico che la attraversa, ovvero vorrei creare opportune regole per consentire l'accesso ai servizi delle macchine che utilizzano il tunnel e BLOCCARE tutto il resto, come del resto accade per i vpn client (il cui traffico viene filtrato dalle acl dell'interfaccia outside).
Allo stato attuale, le macchine della sede A raggiungono in vpn tutte le porte aperte delle macchine della sede B.
Grazie per l'aiuto
Den
Prese : Cisco : CCENT / CCNA / CCNA Security / 640-911 DCICN | Checkpoint : CCSA | Fortinet : FCNSA 5.0
In preparazione : Cisco CCDA / Firewall 2.0 | Fortinet FCNSP
Goals : CCIE | CCNP Security | CCDP | Checkpoint CCSE
In preparazione : Cisco CCDA / Firewall 2.0 | Fortinet FCNSP
Goals : CCIE | CCNP Security | CCDP | Checkpoint CCSE