VPN Host to Network

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
Avatar utente
spider
Cisco fan
Messaggi: 47
Iscritto il: dom 16 dic , 2007 1:55 pm
Località: Napoli

Salve Ragazzi,
ho una VPN (su ASA 5510) tirata su con una sede remota. Classica VPN dove ho messo visibile tutta la rete,
ora vorrei però limitare l'accesso, mi spiego vorrei che solo la sede remota possa accedere solo su alcuni server della mia rete

Ecco cosa ho attualmente:
access-list vpn1 extended permit ip 172.26.64.0 255.255.224.0 10.50.50.0 255.255.255.0
access-list Nonat-vpn extended permit ip 172.26.64.0 255.255.224.0 10.50.50.0 255.255.255.0

Potrei fare una cosa del genere:
access-list vpn1 extended permit ip 172.26.79.39 255.255.255.255 10.50.50.0 255.255.255.0
access-list Nonat-vpn extended permit ip 172.26.79.39 255.255.255.255 10.50.50.0 255.255.255.0

Funzioneranno? E' corretta come comando?


Grazie
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Premetto che non conosco gli ASA ancora, ma nelle ACL non ci va WC invece della SM?
Non cade foglia che l'inconscio non voglia (S.B.)
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

paolomat75 ha scritto:Premetto che non conosco gli ASA ancora, ma nelle ACL non ci va WC invece della SM?
Per quello va bene la subnet mask ma il dubbio è se servono tutti e 2, prova ma imho te ne potrebbe bastare una sola nel punto d'ingresso.
Come sintassi va bene
Rizio
Si vis pacem para bellum
Avatar utente
spider
Cisco fan
Messaggi: 47
Iscritto il: dom 16 dic , 2007 1:55 pm
Località: Napoli

Ciao Rizio,
per tutte e due intendi il noNAT e VPN?

Cmq settimana prossima cercherò di provare e ti aggiorno
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

spider ha scritto:per tutte e due intendi il noNAT e VPN?
Si, intendo la noNat e la VPN.
Dipende cosa ci vuoi fare ma per il transito da un'interfaccia all'altra (con pesi diversi ovviamente) dovrebbe essere sufficiente l'inserimento nell'acl nonat. Però ripeto: dipende cosa vuoi fare.
Prova poi sappimi dire (anche perchè io vado a memoria e certi dettagli li perdo)

Rizio
Si vis pacem para bellum
Avatar utente
spider
Cisco fan
Messaggi: 47
Iscritto il: dom 16 dic , 2007 1:55 pm
Località: Napoli

Sei un grande Rizio :lol:
la mia intenzione è quella di dare accesso esclusivamente a dei server e non a tutta la mia rete.
I miei server sono proprio sulla rete 172.x.x.x

Cmq sono fuori sede appena rientro farò le modifiche e vedremo se si lamentano.

Ne approfitto, conosci VPN WEB cisco?

Grazie ancora
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

spider ha scritto:la mia intenzione è quella di dare accesso esclusivamente a dei server e non a tutta la mia rete.
I miei server sono proprio sulla rete 172.x.x.x
In questo caso io sull'asa ho usato uno static così ho mappato l'ip del server nell'altra rete con lo stesso ip (magari solo per determinate porte).
Sinceramente non sò quale metodo sia migliore o quale sia la best practices Cisco ed eventualmente approfittiamo per aprire un dibattito, ma io ho fatto così. La regola è molto semplice:

Codice: Seleziona tutto

static (ZONA_NONAT,ZONA_INGRESSO) PROTOCOLLO IP_MAPPATO MASK PORTA IP_REALE MASK PORTA
Es.

Codice: Seleziona tutto

static (dmz,lan) tcp 172.26.64.1 ftp 10.50.50.1 ftp netmask 255.255.255.255
Come ZONA intendo le definizioni del GLOBAL che dovresti già aver fatto.
spider ha scritto:Ne approfitto, conosci VPN WEB cisco?
Purtroppo no, anche se nei prossimi mesi dovrò macinarmelo perchè in azienda dobbiam oapprontare una soluzione per l'accesso sull'asa in WEB VPN di alcune consociate.

Rizio
Si vis pacem para bellum
Rispondi