Dopo aver fatto vari test mi sembra che in molti casi alcune ACL non vengano neppure usate.
Ho una connessione Alice business click già postata qui http://www.ciscoforums.it/viewtopic.php?t=3923
e che riprendo indicando solo le ACL:
Codice: Seleziona tutto
crypto isakmp client configuration group group_test
pool SDM_POOL_1
acl 151
crypto isakmp client configuration group group_test2
pool SDM_POOL_2
acl 152
interface Loopback0
ip address 88.11.11.11 255.255.255.248
!
interface ATM0
no ip address
!
interface ATM0.1 point-to-point
ip address 88.33.33.33 255.255.255.252
ip access-group 105 in
ip nat outside
ip policy route-map VPN-Client
crypto map SDM_CMAP_1
!
interface FastEthernet0
!
interface FastEthernet3
switchport access vlan 2 -- Questa è la DMZ
!
interface Dot11Radio0
shutdown
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip access-group 100 in
ip nat inside
!
interface Vlan2
ip address 192.168.20.1 255.255.255.0
ip access-group 101 in
ip inspect dmzinspect out
!
!
router rip
network 10.0.0.0
network 192.168.20.0
no auto-summary
!
ip local pool SDM_POOL_1 10.10.20.0 10.10.20.31
ip local pool SDM_POOL_2 192.168.120.0 192.168.120.31
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat pool miopool 88.11.11.12 88.11.11.16 prefix-length 29
ip nat inside source list 102 pool miopool overload
!
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 100 permit tcp 10.0.0.0 0.255.255.255 any
access-list 100 permit udp 10.0.0.0 0.255.255.255 any
access-list 100 permit icmp 10.0.0.0 0.255.255.255 any
access-list 100 permit esp any any
access-list 100 permit ahp any any
access-list 100 permit udp any any eq isakmp
access-list 100 permit udp any any eq non500-isakmp
access-list 101 permit icmp any any log
access-list 101 permit tcp host 192.168.20.10 host 10.10.10.20 eq 1521
access-list 101 deny ip any any log
access-list 102 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 105 permit udp any any eq isakmp
access-list 105 permit udp any any eq non500-isakmp
access-list 105 permit esp any any
access-list 105 permit ahp any any
access-list 105 permit tcp 10.10.20.0 0.0.0.255 host 10.10.10.20 log
access-list 105 deny ip 10.10.20.0 0.0.0.255 any log
access-list 105 deny ip any any log
access-list 144 permit ip 10.10.20.0 0.0.0.255 any
access-list 144 permit ip 192.168.120.0 0.0.0.255 any
access-list 151 remark Split tunnel
access-list 151 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
access-list 152 permit ip 192.168.20.0 0.0.0.255 192.168.120.0 0.0.0.255 log
dialer-list 1 protocol ip permit
no cdp run
!
route-map VPN-Client permit 10
match ip address 144
set interface Loopback0
....
Già qui però ho un dubbio: facendo "sh access-list" non vedo mai matches sulla acl 151 (quella della "crypto isakmp client"), possibile? Sembra quasi che non la consideri.
Sempre per via della VPN ho aggiunto la ACL 144 sulla ATM0.1 perchè mi sembrava che la 105 la saltasse, è corretto?
Altra cosa strana, quando se mi collego con il pool di IP 10.10.20.x vedo nello status del VPNclient il routing secret corretto verso 10.10.10.0 ma se provo a usare un pool del tipo 191.168.120.x vedo 0.0.0.0/0.0.0.0 e non accedo ai server della DMZ.
Come soluzione ho anche pensato di mettere delle regole in OUT sia sulla LAN che sulla DMZ, è l'unica soluzione possibile?
Grazie per l'aiuto
Emanuele