Pagina 1 di 1
VPN Host to Network
Inviato: ven 28 ott , 2011 12:03 pm
da spider
Salve Ragazzi,
ho una VPN (su ASA 5510) tirata su con una sede remota. Classica VPN dove ho messo visibile tutta la rete,
ora vorrei però limitare l'accesso, mi spiego vorrei che solo la sede remota possa accedere solo su alcuni server della mia rete
Ecco cosa ho attualmente:
access-list vpn1 extended permit ip 172.26.64.0 255.255.224.0 10.50.50.0 255.255.255.0
access-list Nonat-vpn extended permit ip 172.26.64.0 255.255.224.0 10.50.50.0 255.255.255.0
Potrei fare una cosa del genere:
access-list vpn1 extended permit ip 172.26.79.39 255.255.255.255 10.50.50.0 255.255.255.0
access-list Nonat-vpn extended permit ip 172.26.79.39 255.255.255.255 10.50.50.0 255.255.255.0
Funzioneranno? E' corretta come comando?
Grazie
Re: VPN Host to Network
Inviato: ven 28 ott , 2011 1:04 pm
da paolomat75
Premetto che non conosco gli ASA ancora, ma nelle ACL non ci va WC invece della SM?
Re: VPN Host to Network
Inviato: ven 28 ott , 2011 1:20 pm
da Rizio
paolomat75 ha scritto:Premetto che non conosco gli ASA ancora, ma nelle ACL non ci va WC invece della SM?
Per quello va bene la subnet mask ma il dubbio è se servono tutti e 2, prova ma imho te ne potrebbe bastare una sola nel punto d'ingresso.
Come sintassi va bene
Rizio
Re: VPN Host to Network
Inviato: ven 28 ott , 2011 5:11 pm
da spider
Ciao Rizio,
per tutte e due intendi il noNAT e VPN?
Cmq settimana prossima cercherò di provare e ti aggiorno
Re: VPN Host to Network
Inviato: mer 02 nov , 2011 12:21 pm
da Rizio
spider ha scritto:per tutte e due intendi il noNAT e VPN?
Si, intendo la noNat e la VPN.
Dipende cosa ci vuoi fare ma per il transito da un'interfaccia all'altra (con pesi diversi ovviamente) dovrebbe essere sufficiente l'inserimento nell'acl nonat. Però ripeto: dipende cosa vuoi fare.
Prova poi sappimi dire (anche perchè io vado a memoria e certi dettagli li perdo)
Rizio
Re: VPN Host to Network
Inviato: mer 02 nov , 2011 9:45 pm
da spider
Sei un grande Rizio
la mia intenzione è quella di dare accesso esclusivamente a dei server e non a tutta la mia rete.
I miei server sono proprio sulla rete 172.x.x.x
Cmq sono fuori sede appena rientro farò le modifiche e vedremo se si lamentano.
Ne approfitto, conosci VPN WEB cisco?
Grazie ancora
Re: VPN Host to Network
Inviato: gio 03 nov , 2011 10:26 am
da Rizio
spider ha scritto:la mia intenzione è quella di dare accesso esclusivamente a dei server e non a tutta la mia rete.
I miei server sono proprio sulla rete 172.x.x.x
In questo caso io sull'asa ho usato uno static così ho mappato l'ip del server nell'altra rete con lo stesso ip (magari solo per determinate porte).
Sinceramente non sò quale metodo sia migliore o quale sia la best practices Cisco ed eventualmente approfittiamo per aprire un dibattito, ma io ho fatto così. La regola è molto semplice:
Codice: Seleziona tutto
static (ZONA_NONAT,ZONA_INGRESSO) PROTOCOLLO IP_MAPPATO MASK PORTA IP_REALE MASK PORTA
Es.
Codice: Seleziona tutto
static (dmz,lan) tcp 172.26.64.1 ftp 10.50.50.1 ftp netmask 255.255.255.255
Come ZONA intendo le definizioni del GLOBAL che dovresti già aver fatto.
spider ha scritto:Ne approfitto, conosci VPN WEB cisco?
Purtroppo no, anche se nei prossimi mesi dovrò macinarmelo perchè in azienda dobbiam oapprontare una soluzione per l'accesso sull'asa in WEB VPN di alcune consociate.
Rizio