Access-list VPN Client

[mary]

Ciao a tutti, mi sono iscritta oggi per la prima volta, spero di poter condividere con voi tanti dubbi e nozioni.
Vi pongo una domanda che riguarda la creazione dell'access-list per un VPN Group su di un PIX 515 Version 6.3(1).
E' possibile creare l'access-list che permetta l'accesso ai clients solo su di una porta di un host? Io ho provato e non funziona. Devo aggiungere qualche comando di cui non sono a conoscenza?
Vi riporto di seguito l'esempio della vpn che ho configurato io e che non va:

access-list VPN permit tcp host 192.168.1.100 192.168.2.0 255.255.255.0 eq 23


vpngroup NOME address-pool POOL
vpngroup NOME default-domain nome.it
vpngroup NOME split-tunnel VPN
vpngroup NOME idle-time 1800
vpngroup NOME password *********

Grazie mille a tutti in anticipo

[MrCisco]

Buongiorno e benvenuta.
Sfortunatamente non ho esperienza sui PIX, però penso che per coerenza cisco non cambi delle pietre miliari logiche tra router e firewall.
Una di queste penso sia le wildcard mask. Nei router, quando descrivi un range di indirizzi con una ACL, utilizzi le wildcard mask, non le subnet mask come hai fatto tu. Per la cronaca, le wildcard mask funzionano "al contrario" delle subnet mask ovvero metti a 0 i bit del network e a 1 i bit dell'host.
Quindi se la subnet mask è 255.255.255.0, la wildcard è 0.0.0.255...
Ripeto, non posso darti la certezza che su pix funzioni nello stesso modo, ma ho un buon sospetto che sia così... prova.

[mary]

Grazie MrCisco per l'attenzione ma sono sicura poichè ne ho esperienza diretta che le access-list sui PIX si costruiscono con le subnet mask, infatti se la configurazione dell'access-list del VPN group è la seguente:

access-list VPN permit ip host 192.168.1.100 192.168.2.0 255.255.255.0

l'accesso all'host 192.168.1.100 avviene correttamente anche sulla porta telnet, ma se limito la riga di configuazione alla solo porta 23 non va.
Grazie ancora

[andrewp]

access-list VPN permit ip host 192.168.1.100 192.168.2.0 255.255.255.0

l'accesso all'host 192.168.1.100 avviene correttamente anche sulla porta telnet, ma se limito la riga di configuazione alla solo porta 23 non va.
Grazie ancora

Mary...l'accesso ALL'host?Quindi la destinazione è il 192.168.1.100, che ha un server telnet?

Ciao.

[TheIrish]

quoto sith, anch'io ho il sospetto che l'acl vada girata

[mary]

Ciao SithDrew, il client VPN si collega al firewall, una volta chiusa la connessione deve effettuare un telnet sull'host 192.168.1.100.

[andrewp]

Ciao SithDrew, il client VPN si collega al firewall, una volta chiusa la connessione deve effettuare un telnet sull'host 192.168.1.100.

Dunqve dunqve...il client VPN si collega al firewall ed apre il tunnel...la subnet dietro al firewall è 192.168.1.0/24 mentre la subnet dove risiede il client è 192.168.2.0/24...in tal caso l'acl da applicare al pix è:

access-list VPN permit ip 192.168.2.0 255.255.255.0 192.168.1.100 255.255.255.255 eq telnet

Let me know...ciao ciao.