Pagina 1 di 1
ACL su traffico VPN su PIX \ ASA
Inviato: lun 24 nov , 2008 3:45 pm
da den
Ciao a tutti, sono nuovo..
da una prima ricerca non ho trovato risultati per il mio problema:
ho una vpn site to site tra un pix 515 ed un 501 (entrambi 6.3(5)),
la vpn funziona correttamente, ma non so come filtrare il traffico che la attraversa, ovvero vorrei creare opportune regole per consentire l'accesso ai servizi delle macchine che utilizzano il tunnel e BLOCCARE tutto il resto, come del resto accade per i vpn client (il cui traffico viene filtrato dalle acl dell'interfaccia outside).
Allo stato attuale, le macchine della sede A raggiungono in vpn tutte le porte aperte delle macchine della sede B.
Grazie per l'aiuto
Den
Inviato: mar 25 nov , 2008 11:11 pm
da den
Ciao,
segnalatemi se non sono riuscito a spiegarmi in modo sufficientemente chiaro, eventualmente posso inserire un esempio della configurazione.
Grazie
Inviato: mer 26 nov , 2008 2:29 pm
da Wizard
Devi togliere il comando "sysopt connection permit-ipsec" e a quel punto gestire tutte le connessioni dalle acl sulle interfaccie
Inviato: mer 26 nov , 2008 6:24 pm
da den
E' esattamente ciò che risolve il mio problema, grazie!
Non capisco perchè il traffico generato dalle vpn software realizzate con il client di Cisco sia invece gestito dalle acl anche con il comando "sysopt connection permit-ipsec" attivo...
Inviato: mer 26 nov , 2008 10:10 pm
da Wizard
Non capisco perchè il traffico generato dalle vpn software realizzate con il client di Cisco sia invece gestito dalle acl anche con il comando "sysopt connection permit-ipsec" attivo...
Questa cosa mi è nuova...
Sinceramente nn lo so...
Inviato: gio 27 nov , 2008 6:04 pm
da den
...era solo una curiosità, non c'è problema.
Grazie per il supporto,
den
Re: ACL su traffico VPN su PIX \ ASA
Inviato: gio 10 ott , 2013 9:49 am
da darkeden82
den ha scritto:Ciao a tutti, sono nuovo..
da una prima ricerca non ho trovato risultati per il mio problema:
ho una vpn site to site tra un pix 515 ed un 501 (entrambi 6.3(5)),
la vpn funziona correttamente, ma non so come filtrare il traffico che la attraversa, ovvero vorrei creare opportune regole per consentire l'accesso ai servizi delle macchine che utilizzano il tunnel e BLOCCARE tutto il resto, come del resto accade per i vpn client (il cui traffico viene filtrato dalle acl dell'interfaccia outside).
Allo stato attuale, le macchine della sede A raggiungono in vpn tutte le porte aperte delle macchine della sede B.
Grazie per l'aiuto
Den
le crypto acl sono una cosa....e si fanno in permit ip solo perchè identificano il traffico da inserire nel tunnel,poi ti filtri il traffico con le access-list "normali" sulle interfacce.