VPN - DMZ e la gestione delle ACL con un 877w

[EMondini]

Avrei bisogno di un aiuto con le ACL conun 877w dove ho impostato una DMZ, in caso di utilizzo con VPNClient.
Dopo aver fatto vari test mi sembra che in molti casi alcune ACL non vengano neppure usate.
Ho una connessione Alice business click già postata qui http://www.ciscoforums.it/viewtopic.php?t=3923
e che riprendo indicando solo le ACL:

Codice: Seleziona tutto

crypto isakmp client configuration group group_test
 pool SDM_POOL_1
 acl 151
crypto isakmp client configuration group group_test2
 pool SDM_POOL_2
 acl 152
 
interface Loopback0
 ip address 88.11.11.11 255.255.255.248
!
interface ATM0
 no ip address
!
interface ATM0.1 point-to-point
 ip address 88.33.33.33 255.255.255.252
 ip access-group 105 in
 ip nat outside
 ip policy route-map VPN-Client
 crypto map SDM_CMAP_1
!
interface FastEthernet0
!
interface FastEthernet3
 switchport access vlan 2  -- Questa è la DMZ
!
interface Dot11Radio0
 shutdown
!
interface Vlan1
 ip address 10.10.10.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
!
interface Vlan2
 ip address 192.168.20.1 255.255.255.0
 ip access-group 101 in
 ip inspect dmzinspect out
!
!
router rip
 network 10.0.0.0
 network 192.168.20.0
 no auto-summary
!
ip local pool SDM_POOL_1 10.10.20.0 10.10.20.31
ip local pool SDM_POOL_2 192.168.120.0 192.168.120.31
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat pool miopool 88.11.11.12 88.11.11.16 prefix-length 29
ip nat inside source list 102 pool miopool overload
!
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 1 permit 192.168.20.0 0.0.0.255

access-list 100 permit tcp 10.0.0.0 0.255.255.255 any
access-list 100 permit udp 10.0.0.0 0.255.255.255 any
access-list 100 permit icmp 10.0.0.0 0.255.255.255 any
access-list 100 permit esp any any
access-list 100 permit ahp any any
access-list 100 permit udp any any eq isakmp
access-list 100 permit udp any any eq non500-isakmp

access-list 101 permit icmp any any log
access-list 101 permit tcp host 192.168.20.10 host 10.10.10.20 eq 1521
access-list 101 deny   ip any any log

access-list 102 deny   ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 105 permit udp any any eq isakmp
access-list 105 permit udp any any eq non500-isakmp
access-list 105 permit esp any any
access-list 105 permit ahp any any
access-list 105 permit tcp 10.10.20.0 0.0.0.255 host 10.10.10.20 log
access-list 105 deny   ip 10.10.20.0 0.0.0.255 any log
access-list 105 deny   ip any any log
access-list 144 permit ip 10.10.20.0 0.0.0.255 any
access-list 144 permit ip 192.168.120.0 0.0.0.255 any
access-list 151 remark Split tunnel
access-list 151 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 log
access-list 152 permit ip 192.168.20.0 0.0.0.255 192.168.120.0 0.0.0.255 log
dialer-list 1 protocol ip permit
no cdp run
!
route-map VPN-Client permit 10
 match ip address 144
 set interface Loopback0
....

Quello che vorrei riuscire a fare è poter impostare le ACL per la VPN in modo da avere vari gruppi e in base al gruppo indicare su quali server è possibile andare e anche su quali porte.
Già qui però ho un dubbio: facendo "sh access-list" non vedo mai matches sulla acl 151 (quella della "crypto isakmp client"), possibile? Sembra quasi che non la consideri.
Sempre per via della VPN ho aggiunto la ACL 144 sulla ATM0.1 perchè mi sembrava che la 105 la saltasse, è corretto?

Altra cosa strana, quando se mi collego con il pool di IP 10.10.20.x vedo nello status del VPNclient il routing secret corretto verso 10.10.10.0 ma se provo a usare un pool del tipo 191.168.120.x vedo 0.0.0.0/0.0.0.0 e non accedo ai server della DMZ.

Come soluzione ho anche pensato di mettere delle regole in OUT sia sulla LAN che sulla DMZ, è l'unica soluzione possibile?

Grazie per l'aiuto

Emanuele

[Wizard]

A partire dalla 12.3(8)T, è cambiata la gestione della ACL per il traffico in chiaro entrante o uscente da una crypto map IPSEC.
In pratica il traffico in chiaro non viene più sottoposto ad una verifica da parte delle ACL d'interfaccia su cui è applicata la crypto map, un po come succede per i PIX con il sysopt connection permit-ipsec, quindi non è più necessario specificare il traffico in questione nella ACL. (cosa che era una bella rottura...)
Nel caso si voglia comunque verificare il traffico in chiaro, per limitarlo in entrata o in uscita da una VPN, è possibile attivare un ACL all'interno della crypto map con il comando:

set ip access-group {access-list-number |access-list-name}{in | out}

Qui trovate maggiori dettagli:
http://www.cisco.com/en/US/partner/prod ... 55af2.html

[EMondini]

Grazie,
questa me l'ero persa....

In merito invece al problema:

Altra cosa strana, quando se mi collego con il pool di IP 10.10.20.x vedo nello status del VPNclient il "Secured routes" corretto verso 10.10.10.0 ma se provo a usare un pool del tipo 191.168.120.x vedo come "Secured routes" 0.0.0.0/0.0.0.0 e non accedo ai server della DMZ.

Stò ragionando intorno all'ACL 102 ma non sò se mettendola così risolvo il problema:

Codice: Seleziona tutto

access-list 102 remark --- Access list per la VPN
access-list 102 deny   ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.224 
access-list 102 deny   ip 192.168.20.0 0.0.0.255 192.168.120.0 0.0.0.224 
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 102 permit ip 192.168.20.0 0.0.0.255 any

e visto che al cisco posso accedere solo da remoto, non vorrei tagliarmi fuori. Che ne pensi?

Emanuele