форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"ACL для ASA"	+/–
Сообщение от apex2009 (ok) on 14-Фев-12, 10:07
Доброго времени суток! Прошу помочь в правильности создания ACL на ASA для внешнего интерфейса. Ситуация у нас такая: есть ASA, из интерфейса outside в интерфейс inside подключаются пользователи по VPN. Успешно работают и т.д. Ната на интерфейсе нет и не нужен. Т.к. он только для подключения VPN-клиентов. Сейчас руководство решило органичить доступ и отказаться от мобильных VPN-клиентов. И необходимо разрешить доступ на внешний интерфейс только определенным IP-адресам. Вот тут у нас возникла проблема, не получается настроить ACL на ASA. На обычных роутерах работает, здесь ни как не получается. Пробовали в разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу. ACL писали его в разных направлениях, окончательный вариант: access-list VPN extended permit ip int outside host 200.200.x.x access-list VPN extended permit ip int outside host 200.201.x.x Int: access-group VPN in interface outside Картина получается следующая: по прежнему может подключаться любой пользователь. Что-то мы упустили существенное?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ACL для ASA"	+/–
Сообщение от pyatak123 (ok) on 14-Фев-12, 12:12
>[оверквотинг удален] > На обычных роутерах работает, здесь ни как не получается. Пробовали в > разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как > правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу. > ACL писали его в разных направлениях, окончательный вариант: > access-list VPN extended permit ip int outside host 200.200.x.x > access-list VPN extended permit ip int outside host 200.201.x.x > Int: > access-group VPN in interface outside > Картина получается следующая: по прежнему может подключаться любой пользователь. > Что-то мы упустили существенное? По умолчанию в ASA включена команда sysopt connection permit-vpn, которая позволяет трафику VPN обходить входящий ACL интерфейса, на котором терминируется VPN. ACL присвоенные в процессе авторизации пользователей (group policy и per-user ACL) применяются.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "ACL для ASA"	+/–
	Сообщение от apex2009 (ok) on 14-Фев-12, 12:51
	Всем спасибо, что откликнулись. sysopt - отключен, все равно пользователи подключаются no sysopt connection permit-vpn ACL действительно странный т.к. это последний вариант ACL. Вначале действительно создали ACL вот такой: access-list VPN ext permit udp host 200.200.х.х host 100.100.х.х eq 500 access-list VPN ext permit udp host 200.200.х.х host 100.100.х.х eq 4500 где 200.200.х.х адрес интерфейса, а 100.100.х.х адрес клиентов поробовали: access-list VPN ext deny udp  any host 200.200.х.х eq 500 access-list VPN ext deny udp  any host 200.200.х.х eq 4500 пробовали явно прописать: access-list VPN extended deny ip any any оставляли на интерфейсе только: access-list VPN extended deny ip any any Все равно подключаются и пинги идут. Направлени ACL: access-group VPN in interface outside Может еще есть какие-то настройки, глобальные?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "ACL для ASA"	+/–
Сообщение от Aleks305 (ok) on 14-Фев-12, 12:16
>[оверквотинг удален] > На обычных роутерах работает, здесь ни как не получается. Пробовали в > разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как > правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу. > ACL писали его в разных направлениях, окончательный вариант: > access-list VPN extended permit ip int outside host 200.200.x.x > access-list VPN extended permit ip int outside host 200.201.x.x > Int: > access-group VPN in interface outside > Картина получается следующая: по прежнему может подключаться любой пользователь. > Что-то мы упустили существенное? то есть вам необходимо только с определенных ip разрешить подключение по vpn? странный у Вас очень acl я так думаю что acl должны быть следующего вида access-list VPN extendid permit ip host 100.100.100.1 host 200.200.1.1(это ваш внешний ip для vpn) - этот acl разрешать подключаться к VPN с ip-адреса 100.100.100.1 access-list VPN extendid deny ip any host 200.200.1.1(это ваш внешний ip для vpn) - остальным запрещено подключаться Но такой acl не очень гибкий, я бы сделал так: access-list VPN extendid permit udp host 100.100.100.1 host 200.200.1.1 eq 500(разрешаем isakmp) access-list VPN extendid permit udp host 100.100.100.1 host 200.200.1.1 eq 4500(разрешаем ipsec) access-list VPN extendid deny udp  any host 200.200.1.1 eq 500 всем остальным запрещаем access-list VPN extendid deny udp  any host 200.200.1.1 eq 4500 всем остальным запрещаем
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема