Salve Ragazzi,
ho una VPN (su ASA 5510) tirata su con una sede remota. Classica VPN dove ho messo visibile tutta la rete,
ora vorrei però limitare l'accesso, mi spiego vorrei che solo la sede remota possa accedere solo su alcuni server della mia rete
Ecco cosa ho attualmente:
access-list vpn1 extended permit ip 172.26.64.0 255.255.224.0 10.50.50.0 255.255.255.0
access-list Nonat-vpn extended permit ip 172.26.64.0 255.255.224.0 10.50.50.0 255.255.255.0
Potrei fare una cosa del genere:
access-list vpn1 extended permit ip 172.26.79.39 255.255.255.255 10.50.50.0 255.255.255.0
access-list Nonat-vpn extended permit ip 172.26.79.39 255.255.255.255 10.50.50.0 255.255.255.0
Funzioneranno? E' corretta come comando?
Grazie
VPN Host to Network
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Premetto che non conosco gli ASA ancora, ma nelle ACL non ci va WC invece della SM?
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Per quello va bene la subnet mask ma il dubbio è se servono tutti e 2, prova ma imho te ne potrebbe bastare una sola nel punto d'ingresso.paolomat75 ha scritto:Premetto che non conosco gli ASA ancora, ma nelle ACL non ci va WC invece della SM?
Come sintassi va bene
Rizio
Si vis pacem para bellum
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Si, intendo la noNat e la VPN.spider ha scritto:per tutte e due intendi il noNAT e VPN?
Dipende cosa ci vuoi fare ma per il transito da un'interfaccia all'altra (con pesi diversi ovviamente) dovrebbe essere sufficiente l'inserimento nell'acl nonat. Però ripeto: dipende cosa vuoi fare.
Prova poi sappimi dire (anche perchè io vado a memoria e certi dettagli li perdo)
Rizio
Si vis pacem para bellum
- spider
- Cisco fan
- Messaggi: 47
- Iscritto il: dom 16 dic , 2007 1:55 pm
- Località: Napoli
Sei un grande Rizio
la mia intenzione è quella di dare accesso esclusivamente a dei server e non a tutta la mia rete.
I miei server sono proprio sulla rete 172.x.x.x
Cmq sono fuori sede appena rientro farò le modifiche e vedremo se si lamentano.
Ne approfitto, conosci VPN WEB cisco?
Grazie ancora
la mia intenzione è quella di dare accesso esclusivamente a dei server e non a tutta la mia rete.
I miei server sono proprio sulla rete 172.x.x.x
Cmq sono fuori sede appena rientro farò le modifiche e vedremo se si lamentano.
Ne approfitto, conosci VPN WEB cisco?
Grazie ancora
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
In questo caso io sull'asa ho usato uno static così ho mappato l'ip del server nell'altra rete con lo stesso ip (magari solo per determinate porte).spider ha scritto:la mia intenzione è quella di dare accesso esclusivamente a dei server e non a tutta la mia rete.
I miei server sono proprio sulla rete 172.x.x.x
Sinceramente non sò quale metodo sia migliore o quale sia la best practices Cisco ed eventualmente approfittiamo per aprire un dibattito, ma io ho fatto così. La regola è molto semplice:
Codice: Seleziona tutto
static (ZONA_NONAT,ZONA_INGRESSO) PROTOCOLLO IP_MAPPATO MASK PORTA IP_REALE MASK PORTA
Codice: Seleziona tutto
static (dmz,lan) tcp 172.26.64.1 ftp 10.50.50.1 ftp netmask 255.255.255.255
Purtroppo no, anche se nei prossimi mesi dovrò macinarmelo perchè in azienda dobbiam oapprontare una soluzione per l'accesso sull'asa in WEB VPN di alcune consociate.spider ha scritto:Ne approfitto, conosci VPN WEB cisco?
Rizio
Si vis pacem para bellum