URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15855
[ Назад ]
Исходное сообщение
"VPN Client - списки доспупа, полномочия, безопасность"
Отправлено vpnman , 25-Мрт-08 10:40 
Господа, есть такой вопрос... хотелось бы чтоб удаленные пользователи подключившись к корпорат.сети имели разные права доступа к ресурсам сети на уровне access-list.
Можно ли так сделать???? (Тоесть при логине одной группой доступ к одним хостам а при коннекте под другим именем к другим.)

я пробовал так, но не работает... при подключении по группе vpnclient пред.полный доступ, по группе vpnclient1 туннель устанавливается но пинга нет ни одного узла.

aaa authentication login userauthen local
aaa authorization network groupauthor local
!
username USER password 0 USER
!
!
crypto isakmp client configuration group vpnclient
key katya
dns 10.10.221.9
domain sales
pool ippool
acl 101
!
crypto isakmp client configuration group vpnclient1
key masha
dns 10.10.221.9
domain sales
pool ippool1
acl 120
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
ip local pool ippool 10.10.221.25 10.10.221.26
ip local pool ippool1 10.10.221.27 10.10.221.28
!
access-list 101 permit ip any any  (разрешины все хосты)
!
(хотелось бы разрешить только хосты 10.10.221.20 и 11) но не работает
access-list 120 permit ip host 10.10.221.20 host 10.10.221.27
access-list 120 permit ip host 10.10.221.20 host 10.10.221.28
access-list 120 permit ip host 10.10.221.11 host 10.10.221.27
access-list 120 permit ip host 10.10.221.11 host 10.10.221.28
access-list 120 deny ip any any

Содержание
Сообщения в этом обсуждении
"VPN Client - списки доспупа, полномочия, безопасность"
Отправлено CrAzOiD , 25-Мрт-08 10:43 
>[оверквотинг удален]
>ip local pool ippool1 10.10.221.27 10.10.221.28
>!
>access-list 101 permit ip any any  (разрешины все хосты)
>!
>(хотелось бы разрешить только хосты 10.10.221.20 и 11) но не работает
>access-list 120 permit ip host 10.10.221.20 host 10.10.221.27
>access-list 120 permit ip host 10.10.221.20 host 10.10.221.28
>access-list 120 permit ip host 10.10.221.11 host 10.10.221.27
>access-list 120 permit ip host 10.10.221.11 host 10.10.221.28
>access-list 120 deny ip any any

120 ACL настроен неправильно, поменяйте местами хосты в каждй записи

"VPN Client - списки доспупа, полномочия, безопасность"
Отправлено vpnman , 25-Мрт-08 11:02 
я так и сделал, и всеравно не работает...вот что мне не понятно.
а вообще такой конфиг правильный? вообще принцип...
Вы не пробовали на практике такую конфигурацию?
допустимо вообще наличии нескольких груп ?
"VPN Client - списки доспупа, полномочия, безопасность"
Отправлено vpnman , 25-Мрт-08 11:06 
я подумал и сделал подругому (чтоб упростить)
НО НЕ РАБОТАЕТ ВСЕРАВНО!!!!!

crypto isakmp client configuration group vpnclient
key czins133
dns 10.10.221.9
domain czins
pool ippool
acl 101
!
crypto isakmp client configuration group vpnclient1
key czins785
dns 10.10.221.9
domain czins
pool ippool1
acl 1

access-list 101 permit ip any any

access-list 1 permit 10.10.221.11
access-list 1 permit 10.10.221.20
access-list 1 deny any

"VPN Client - списки доспупа, полномочия, безопасность"
Отправлено vpnman , 25-Мрт-08 12:39 
люди добрые, подскажите...
"VPN Client - списки доспупа, полномочия, безопасность"
Отправлено Helper , 26-Мрт-08 06:20 
>люди добрые, подскажите...

ACL только задает таблицу маршрутизации на vpn-клиенте. Больше ничего

"VPN Client - списки доспупа, полномочия, безопасность"
Отправлено vpnman , 26-Мрт-08 09:46 
понятно, я подозревал это так как пробовал вообще без acl (в первом, рабочем случае).
хммм...а что же делать? как поступить в моем случае, или это нельзя воплотить в принципе?

задача такова...
конект под group1 - видит всю подсеть.
коннект под group2 - видит только определенные хосты.
коннект под group3 - к примеру определенные хосты по определенным портам.

"VPN Client - списки доспупа, полномочия, безопасность"
Отправлено CrAzOiD , 26-Мрт-08 09:52 
>понятно, я подозревал это так как пробовал вообще без acl (в первом,
>рабочем случае).
>хммм...а что же делать? как поступить в моем случае, или это нельзя
>воплотить в принципе?
>
>задача такова...
>конект под group1 - видит всю подсеть.
>коннект под group2 - видит только определенные хосты.
>коннект под group3 - к примеру определенные хосты по определенным портам.

мой вам совет, для выдачи клиентам VPN IP адресов возьмите не адреса локальной сети. Выберите свободную сеть/подсеть.

"VPN Client - списки доспупа, полномочия, безопасность"
Отправлено vpnman , 26-Мрт-08 10:19 
а по чему так? поясните пожалуйста? с выдачей ip из той же подсети не нужно делать маршрутизацию, да и упрощается все. Почему советуете другую подсеть? (в докак тоже используется другая подсеть но нет описания причины)
"VPN Client - списки доспупа, полномочия, безопасность"
Отправлено CrAzOiD , 26-Мрт-08 10:32 
>а по чему так? поясните пожалуйста? с выдачей ip из той же
>подсети не нужно делать маршрутизацию, да и упрощается все. Почему советуете
>другую подсеть? (в докак тоже используется другая подсеть но нет описания
>причины)

маршрутизация все равно будет, хотя бы потому что присоединившится клиентам надо отправлять пакеты в другой интерфейс, вот и возможны проблемы
например с точки зрения жителя докальной сети адрес назначенный VPN клиенту считается локальным и пакеты не будут направляться на DG (что бы дальше уйти по туннелю) - ваш маршрутизатор. Вот вам проблема