URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23099
[ Назад ]

Исходное сообщение
"VPN Cisco 871"
Отправлено sysadm , 14-Сен-11 14:03

Есть работающий VPN сервер для  "административного" доступа из вне  к Lan на Cisco 871 (Easy VPN Server, авторизация локальная). Появилась  потребность  организовать  доступ для некоторых мобильных пользователей (не более 5 человек)к внутренней почте. (Linux, Dovecot, Postfix). Можно  ли средствами  маршрутизатора  реализовать правила (этому можно доступ ТОЛЬКО к 192.168.1.1  25, 110, 143 порт), а этот получает доступ ко всем ресурсам  сети.
Конечно, можно установить на Linux тот же OpenVPN "прокинуть" на роутере  порт 1194, по моему, и наверное всё будет  работать...
Но можно ли эту задачу  решить только  средствами маршрутизатора?
Сделать несколько  configuration group выдавать разные ip подсети  и фильтровать?
Или как то по другому?
Заранее спасибо за советы....

Содержание

VPN Cisco 871,Николай_kv, 15:39 , 14-Сен-11
- VPN Cisco 871,sysadm, 16:27 , 14-Сен-11

Сообщения в этом обсуждении

"VPN Cisco 871"
Отправлено Николай_kv , 14-Сен-11 15:39

>[оверквотинг удален]
> 5 человек)к внутренней почте. (Linux, Dovecot, Postfix). Можно  ли средствами
>  маршрутизатора  реализовать правила (этому можно доступ ТОЛЬКО к 192.168.1.1
>  25, 110, 143 порт), а этот получает доступ ко всем
> ресурсам  сети.
> Конечно, можно установить на Linux тот же OpenVPN "прокинуть" на роутере
> порт 1194, по моему, и наверное всё будет  работать...
> Но можно ли эту задачу  решить только  средствами маршрутизатора?
> Сделать несколько  configuration group выдавать разные ip подсети  и фильтровать?
> Или как то по другому?
> Заранее спасибо за советы....
Easy VPN Server + различные профили для различных задач.

"VPN Cisco 871"
Отправлено sysadm , 14-Сен-11 16:27

> Easy VPN Server + различные профили для различных задач.
Можно  чуть поподробней как это в профилях настраивается (ограничение к хосту, сети протоколу, через Access list?)
Вот моя часть конфига относящаяся к VPN:
interface Virtual-Template3 type tunnel
ip unnumbered FastEthernet4
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec_profile
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group group1
key xxxxxxxxxxxxx
dns xx
wins xxx
domain xxxxx
pool vpnpool
acl 105
include-local-lan
netmask 255.255.255.0
crypto isakmp profile kmp_profile
   match identity group group1
   client authentication list vpn
   isakmp authorization list vpn_group
   client configuration address initiate
   client configuration address respond
   virtual-template 3
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto ipsec profile ipsec_profile
set transform-set myset
set isakmp-profile kmp_profile
!
!
crypto dynamic-map dynmap 10
set transform-set myset
reverse-route
!
!
crypto map clientmap client authentication list vpn
crypto map clientmap isakmp authorization list vpn_group
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
access-list 105 permit ip 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255
#192.168.5.0 -подсеть клиентов VPN

Нужно создать несколько client configuration group, crypto isakmp profile, crypto ipsec profile ipsec_profile? Как настроить доступ через access-list? access-list привязывать к
client configuration group ?