CiscoForums.it

Inviato: **mar 10 feb , 2009 11:00 am**

Salve a tutti,
devo configurare un 2621 in modo da bloccare l'accesso a internet ai pc della lan.
Sul router è configurata una vpn ipsec lan to lan perchè i pc della lan devono lavorare per teleassistenza (con VNC,PcAnywhere,Remote Desktop).
Se provassi a bloccare TUTTO per la lan,con una access list da applicare all'interfaccia interna (access group ecc) sarebbe possibile lavorare sui pc all'altra estremità del tunnel vpn (nel tunnel è permesso tutto)?
Oppure devo creare una access list per permettere VNC,Pc Any,Remote desktop e poi negare tutto il resto?
Grazie in anticipo a tutti!

Inviato: **mar 10 feb , 2009 12:09 pm**

Dall´altra parte hai una classe IP, fai il permit di quella e basta, neanche ti serve il NAT.

Inviato: **mar 10 feb , 2009 12:32 pm**

Mmm.......non so se ho capito...
In pratica io ho il mio tunnel vpn che dice (ad es)

permit ip rete A <-> rete B

devo applicare all'interfaccia interna una access-group N che dice

access-list N permit IP rete A rete B
access-list N deny any any

???

Inviato: **mar 10 feb , 2009 1:15 pm**

In realtá usi giá le ACL quando crei il tunnel IPSec o no?!

Inviato: **mar 10 feb , 2009 2:05 pm**

sì,certo!per indicare il traffico che passa nel tunnel ipsec uso una access-list.Se applico un'altra access list all'interfaccia interna per negare tutto quello che passa nel tunnel continua a funzionare?

Inviato: **mar 10 feb , 2009 2:58 pm**

Richi_one ha scritto: devo applicare all'interfaccia interna una access-group N che dice

access-list N permit IP rete A rete B
access-list N deny any any
???

Si bravo devi fare così!

Inviato: **mar 10 feb , 2009 3:25 pm**

Grazie per la risposta!!

CiscoForums.it

Bloccare accesso ad internet alla lan

Bloccare accesso ad internet alla lan