Ciao a tutti,
ho un PC che si collega ad una rete aziendale tramite il Cisco VPN CLient, si connette alla rete remota e gli viene assegnato l'indirizzo IP: 10.0.2.1
In dettaglio il PC, attraverso la seguente access list:
access-list nonat permit IP 10.10.0.5 255.255.255.255 10.0.2.0 255.255.255.0
è in grado di dialogare (e va vene così) solo con il Server 10.10.0.5
Fin qui tutto bene e funzionante alla perfezione.
Ora nasce un'esigenza nuova, è necessario che il mio PC contatti il Server ma possa solamente fare FTP e ICMP.
E qui nascono i problemi....
Ho sostituito l'access list sopra indicata con le seguenti:
access-list nonat permit TCP 10.10.0.5 255.255.255.255 10.0.2.0 255.255.255.0 EQ FTP
access-list nonat permit ICMP 10.10.0.5 255.255.255.255 10.0.2.0 255.255.255.0 echo-replay
a questo punto il mio PC non riesce più a fare nessun tipo di traffico con il Server, cioè il PING non funziona e l'FTP va in time-out.
Da notare che il Server utilizza la canonica porta 21 per l'FTP e che sia FTP che PING con la prima access list funzionavano alla perfezione.
Qualcuno sa dirmi dove sbaglio???
Grazie!!!
Problema chiusura-apertura porte
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Certo che lo sappiamo...
Quella mi sa la acl con cui gestisci il nat0 e deve essere come prima cioè x IP.
A partire dalla 12.3.8T, è cambiata la gestione della ACL per il traffico in chiaro entrante o uscente da una crypto map IPSEC.
In pratica il traffico in chiaro non viene più sottoposto ad una verifica da parte delle ACL d'interfaccia su cui è applicata la crypto map, un po come succede per i PIX con il sysopt connection permit-ipsec, quindi non è più necessario specificare il traffico in questione nella ACL.
Nel caso si voglia comunque verificare il traffico in chiaro, per limitarlo in entrata o in uscita da una VPN, è possibile attivare un ACL all'interno della crypto map con il comando:
set ip access-group {access-list-number |access-list-name}{in | out}
Qui trovate maggiori dettagli:
http://www.cisco.com/en/US/partner/prod ... 55af2.html
Quella mi sa la acl con cui gestisci il nat0 e deve essere come prima cioè x IP.
A partire dalla 12.3.8T, è cambiata la gestione della ACL per il traffico in chiaro entrante o uscente da una crypto map IPSEC.
In pratica il traffico in chiaro non viene più sottoposto ad una verifica da parte delle ACL d'interfaccia su cui è applicata la crypto map, un po come succede per i PIX con il sysopt connection permit-ipsec, quindi non è più necessario specificare il traffico in questione nella ACL.
Nel caso si voglia comunque verificare il traffico in chiaro, per limitarlo in entrata o in uscita da una VPN, è possibile attivare un ACL all'interno della crypto map con il comando:
set ip access-group {access-list-number |access-list-name}{in | out}
Qui trovate maggiori dettagli:
http://www.cisco.com/en/US/partner/prod ... 55af2.html
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
wwww3
- Cisco fan
- Messaggi: 25
- Iscritto il: gio 24 mag , 2007 5:53 pm
Ops...
Ho dimenticato di comunicare una cosa importante...
La VPN è terminata su di un Cisco PIX.
Ringrazio per la risposta, però il link non si apre (anche dopo aver inserito user e password).
Chiedo, se possibile, maggiori lumi a riguardo del filtro traffico a me indispensabile.
GRAZIE 1000.
Ho dimenticato di comunicare una cosa importante...
La VPN è terminata su di un Cisco PIX.
Ringrazio per la risposta, però il link non si apre (anche dopo aver inserito user e password).
Chiedo, se possibile, maggiori lumi a riguardo del filtro traffico a me indispensabile.
GRAZIE 1000.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Allora leva il comando "sysopt connection permit-ipsec" e gestisci tutto con le acl sulla outsideLa VPN è terminata su di un Cisco PIX.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
wwww3
- Cisco fan
- Messaggi: 25
- Iscritto il: gio 24 mag , 2007 5:53 pm
Wizard, grazie per il supporto...
Altro particolare, sul PIX sono state configurate svariate VPN mobili, ognuna ha il suo pool di indirizzi, inoltre sono destinate ad aumentare, solamente una necessita di filtro sul traffico, se fosse possibile non vorrei complicarmi la vita dovendo esplicitare il traffico permesso per ogni singola VPN, ma se non c'è altra strada...
Posto l'attuale configurazione:
hostname PIX
domain-name intranet
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.10.0.5 SERVERFTP
access-list outside_access_in permit icmp any any echo-reply
access-list nonat permit ip any 10.0.1.0 255.255.255.0
access-list nonat permit ip any 10.0.3.0 255.255.255.0
access-list nonat permit ip any 10.0.4.0 255.255.255.0
access-list nonat permit ip any 10.0.5.0 255.255.255.0
access-list nonat permit ip host SERVERFTP 10.0.2.0 255.255.255.0
access-list SPLIT-TUNNEL permit ip 10.10.0.0 255.255.255.0 172.21.0.0 255.255.0.0
access-list SPLIT-TUNNEL permit ip 10.10.0.0 255.255.255.0 192.168.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside IP PUBBLICO
ip address inside 10.10.0.253 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool Networking 10.0.1.1-10.0.1.30
ip local pool Ordini2 10.0.2.1-10.0.2.30
ip local pool Zinco 10.0.3.1-10.0.3.30
ip local pool AMP 10.0.4.1-10.0.4.30
ip local pool GEM 10.0.5.1-10.0.5.30
pdm location 10.10.0.0 255.255.255.0 inside
pdm location 10.10.0.0 255.255.255.0 outside
pdm location 10.0.1.0 255.255.255.0 inside
pdm location 10.0.1.0 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 IP PUB ROUTER 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.10.0.0 255.255.255.0 inside
http 10.0.1.0 255.255.255.0 inside
snmp-server host inside 10.10.0.2
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set TRSET esp-3des esp-sha-hmac
crypto dynamic-map dynmap 10 set transform-set TRSET
crypto map VPN 10 ipsec-isakmp dynamic dynmap
crypto map VPN interface outside
isakmp enable outside
isakmp identity address
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup Networking address-pool Networking
vpngroup Networking dns-server 10.10.0.1
vpngroup Networking wins-server 10.10.0.1
vpngroup Networking default-domain intranet
vpngroup Networking split-tunnel SPLIT-TUNNEL
vpngroup Networking idle-time 1800
vpngroup Networking password ********
vpngroup Ordini2 address-pool Ordini2
vpngroup Ordini2 dns-server 10.10.0.1
vpngroup Ordini2 wins-server 10.10.0.1
vpngroup Ordini2 default-domain local
vpngroup Ordini2 split-tunnel SPLIT-TUNNEL
vpngroup Ordini2 idle-time 1800
vpngroup Ordini2 password ********
vpngroup Zinco address-pool Zinco
vpngroup Zinco dns-server 10.10.0.1
vpngroup Zinco wins-server 10.10.0.1
vpngroup Zinco default-domain intranet
vpngroup Zinco idle-time 1800
vpngroup Zinco password ********
vpngroup AMP address-pool AMP
vpngroup AMP dns-server 10.10.0.1
vpngroup AMP wins-server 10.10.0.1
vpngroup AMP default-domain intranet
vpngroup AMP idle-time 1800
vpngroup AMP password ********
vpngroup GEM address-pool GEM
vpngroup GEM dns-server 10.10.0.1
vpngroup GEM wins-server 10.10.0.1
vpngroup GEM default-domain intranet
vpngroup GEM idle-time 1800
vpngroup GEM password ********
telnet 10.10.0.0 255.255.255.0 inside
telnet 10.0.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
management-access inside
console timeout 0
terminal width 80
Altro particolare, sul PIX sono state configurate svariate VPN mobili, ognuna ha il suo pool di indirizzi, inoltre sono destinate ad aumentare, solamente una necessita di filtro sul traffico, se fosse possibile non vorrei complicarmi la vita dovendo esplicitare il traffico permesso per ogni singola VPN, ma se non c'è altra strada...
Posto l'attuale configurazione:
hostname PIX
domain-name intranet
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.10.0.5 SERVERFTP
access-list outside_access_in permit icmp any any echo-reply
access-list nonat permit ip any 10.0.1.0 255.255.255.0
access-list nonat permit ip any 10.0.3.0 255.255.255.0
access-list nonat permit ip any 10.0.4.0 255.255.255.0
access-list nonat permit ip any 10.0.5.0 255.255.255.0
access-list nonat permit ip host SERVERFTP 10.0.2.0 255.255.255.0
access-list SPLIT-TUNNEL permit ip 10.10.0.0 255.255.255.0 172.21.0.0 255.255.0.0
access-list SPLIT-TUNNEL permit ip 10.10.0.0 255.255.255.0 192.168.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside IP PUBBLICO
ip address inside 10.10.0.253 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool Networking 10.0.1.1-10.0.1.30
ip local pool Ordini2 10.0.2.1-10.0.2.30
ip local pool Zinco 10.0.3.1-10.0.3.30
ip local pool AMP 10.0.4.1-10.0.4.30
ip local pool GEM 10.0.5.1-10.0.5.30
pdm location 10.10.0.0 255.255.255.0 inside
pdm location 10.10.0.0 255.255.255.0 outside
pdm location 10.0.1.0 255.255.255.0 inside
pdm location 10.0.1.0 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 IP PUB ROUTER 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.10.0.0 255.255.255.0 inside
http 10.0.1.0 255.255.255.0 inside
snmp-server host inside 10.10.0.2
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set TRSET esp-3des esp-sha-hmac
crypto dynamic-map dynmap 10 set transform-set TRSET
crypto map VPN 10 ipsec-isakmp dynamic dynmap
crypto map VPN interface outside
isakmp enable outside
isakmp identity address
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup Networking address-pool Networking
vpngroup Networking dns-server 10.10.0.1
vpngroup Networking wins-server 10.10.0.1
vpngroup Networking default-domain intranet
vpngroup Networking split-tunnel SPLIT-TUNNEL
vpngroup Networking idle-time 1800
vpngroup Networking password ********
vpngroup Ordini2 address-pool Ordini2
vpngroup Ordini2 dns-server 10.10.0.1
vpngroup Ordini2 wins-server 10.10.0.1
vpngroup Ordini2 default-domain local
vpngroup Ordini2 split-tunnel SPLIT-TUNNEL
vpngroup Ordini2 idle-time 1800
vpngroup Ordini2 password ********
vpngroup Zinco address-pool Zinco
vpngroup Zinco dns-server 10.10.0.1
vpngroup Zinco wins-server 10.10.0.1
vpngroup Zinco default-domain intranet
vpngroup Zinco idle-time 1800
vpngroup Zinco password ********
vpngroup AMP address-pool AMP
vpngroup AMP dns-server 10.10.0.1
vpngroup AMP wins-server 10.10.0.1
vpngroup AMP default-domain intranet
vpngroup AMP idle-time 1800
vpngroup AMP password ********
vpngroup GEM address-pool GEM
vpngroup GEM dns-server 10.10.0.1
vpngroup GEM wins-server 10.10.0.1
vpngroup GEM default-domain intranet
vpngroup GEM idle-time 1800
vpngroup GEM password ********
telnet 10.10.0.0 255.255.255.0 inside
telnet 10.0.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
management-access inside
console timeout 0
terminal width 80
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Che io sappia nn c'è altra strada.Altro particolare, sul PIX sono state configurate svariate VPN mobili, ognuna ha il suo pool di indirizzi, inoltre sono destinate ad aumentare, solamente una necessita di filtro sul traffico, se fosse possibile non vorrei complicarmi la vita dovendo esplicitare il traffico permesso per ogni singola VPN, ma se non c'è altra strada...
O per tutti o per nessuno...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
