ACL su traffico VPN su PIX \ ASA

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
den
n00b
Messaggi: 4
Iscritto il: lun 24 nov , 2008 3:23 pm

Ciao a tutti, sono nuovo..
da una prima ricerca non ho trovato risultati per il mio problema:

ho una vpn site to site tra un pix 515 ed un 501 (entrambi 6.3(5)),
la vpn funziona correttamente, ma non so come filtrare il traffico che la attraversa, ovvero vorrei creare opportune regole per consentire l'accesso ai servizi delle macchine che utilizzano il tunnel e BLOCCARE tutto il resto, come del resto accade per i vpn client (il cui traffico viene filtrato dalle acl dell'interfaccia outside).

Allo stato attuale, le macchine della sede A raggiungono in vpn tutte le porte aperte delle macchine della sede B.

Grazie per l'aiuto
Den
den
n00b
Messaggi: 4
Iscritto il: lun 24 nov , 2008 3:23 pm

Ciao,

segnalatemi se non sono riuscito a spiegarmi in modo sufficientemente chiaro, eventualmente posso inserire un esempio della configurazione.

Grazie
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Devi togliere il comando "sysopt connection permit-ipsec" e a quel punto gestire tutte le connessioni dalle acl sulle interfaccie
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
den
n00b
Messaggi: 4
Iscritto il: lun 24 nov , 2008 3:23 pm

E' esattamente ciò che risolve il mio problema, grazie!

Non capisco perchè il traffico generato dalle vpn software realizzate con il client di Cisco sia invece gestito dalle acl anche con il comando "sysopt connection permit-ipsec" attivo...
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Non capisco perchè il traffico generato dalle vpn software realizzate con il client di Cisco sia invece gestito dalle acl anche con il comando "sysopt connection permit-ipsec" attivo...
Questa cosa mi è nuova...
Sinceramente nn lo so...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
den
n00b
Messaggi: 4
Iscritto il: lun 24 nov , 2008 3:23 pm

...era solo una curiosità, non c'è problema.

Grazie per il supporto,
den
darkeden82
Cisco fan
Messaggi: 54
Iscritto il: mer 09 ott , 2013 4:33 pm
Località: Cusano Milanino

den ha scritto:Ciao a tutti, sono nuovo..
da una prima ricerca non ho trovato risultati per il mio problema:

ho una vpn site to site tra un pix 515 ed un 501 (entrambi 6.3(5)),
la vpn funziona correttamente, ma non so come filtrare il traffico che la attraversa, ovvero vorrei creare opportune regole per consentire l'accesso ai servizi delle macchine che utilizzano il tunnel e BLOCCARE tutto il resto, come del resto accade per i vpn client (il cui traffico viene filtrato dalle acl dell'interfaccia outside).

Allo stato attuale, le macchine della sede A raggiungono in vpn tutte le porte aperte delle macchine della sede B.

Grazie per l'aiuto
Den
le crypto acl sono una cosa....e si fanno in permit ip solo perchè identificano il traffico da inserire nel tunnel,poi ti filtri il traffico con le access-list "normali" sulle interfacce.
Prese :-P : Cisco : CCENT / CCNA / CCNA Security / 640-911 DCICN | Checkpoint : CCSA | Fortinet : FCNSA 5.0
In preparazione : Cisco CCDA / Firewall 2.0 | Fortinet FCNSP
Goals : CCIE | CCNP Security | CCDP | Checkpoint CCSE
Rispondi