Avrei bisogno di un aiutino piuttosto urgente per la configurazione della
mia prima vpn..
)Lo scenario e' classico ed e' il seguente:
ip da remoto che si connettono via vpn client su un pix (515E - pix ios 6.3
(3))
Riesco tranquillamente a creare la connessione in vpn - il pix assegna un ip
all'host remoto, e fin qui tutto ok. Quello che non riesco a fare, e' creare
delle access-list che matchino sul firewall in modo da negare o permettere
un determinato traffico (permetti accesso www piuttosto che terminal server
piuttosto che ftp ecc ecc). Sembra che matchi solo l'acl di nonat... non ci
capisco piu' nulla!
)Vi posto la conf... (metto solo i comandi ai fini vpn tralasciando gli altri
e uso ip fittizi)
e vi ringrazio in anticipo tantissimo!!!!
Daniela
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname firewall-vpn
domain-name pippo.it
access-list nonat permit ip host 10.0.0.15 10.0.2.32 255.255.255.224
ip address outside 195.112.140.1 255.255.255.0
ip address inside 10.0.0.1 255.255.255.0
ip local pool pool-remoto 10.0.2.32-10.0.2.61
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set ESP-DES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap client authentication LOCAL
crypto map mymap interface outside
isakmp enable outside
isakmp identity address
isakmp client configuration address-pool local gruppo-remoto outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup gruppo-remoto address-pool pool-remoto
vpngroup gruppo-remoto dns-server 10.0.0.12 10.0.0.13
vpngroup gruppo-remoto wins-server 10.0.0.5 10.0.0.6
vpngroup gruppo-remoto default-domain intra.pippo.it
vpngroup gruppo-remoto idle-time 1800
vpngroup gruppo-remoto password *********
username paperino password .89KJKJL encrypted privilege 0
