The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
ACL для ASA, !*! apex2009, 14-Фев-12, 10:07  [смотреть все]
Доброго времени суток!

Прошу помочь в правильности создания ACL на ASA для внешнего интерфейса.
Ситуация у нас такая: есть ASA, из интерфейса outside в интерфейс inside подключаются пользователи по VPN. Успешно работают и т.д. Ната на интерфейсе нет и не нужен. Т.к. он только для подключения VPN-клиентов. Сейчас руководство решило органичить доступ и отказаться от мобильных VPN-клиентов. И необходимо разрешить доступ на внешний интерфейс только определенным IP-адресам.
Вот тут у нас возникла проблема, не получается настроить ACL на ASA. На обычных роутерах работает, здесь ни как не получается. Пробовали в разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу.
ACL писали его в разных направлениях, окончательный вариант:
access-list VPN extended permit ip int outside host 200.200.x.x
access-list VPN extended permit ip int outside host 200.201.x.x
Int:
access-group VPN in interface outside
Картина получается следующая: по прежнему может подключаться любой пользователь.
Что-то мы упустили существенное?


Ответить | Сообщить модератору
  • ACL для ASA, !*! pyatak123, 12:12 , 14-Фев-12 (1)
    >[оверквотинг удален]
    > На обычных роутерах работает, здесь ни как не получается. Пробовали в
    > разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как
    > правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу.
    > ACL писали его в разных направлениях, окончательный вариант:
    > access-list VPN extended permit ip int outside host 200.200.x.x
    > access-list VPN extended permit ip int outside host 200.201.x.x
    > Int:
    > access-group VPN in interface outside
    > Картина получается следующая: по прежнему может подключаться любой пользователь.
    > Что-то мы упустили существенное?

    По умолчанию в ASA включена команда sysopt connection permit-vpn, которая позволяет трафику VPN обходить входящий ACL интерфейса, на котором терминируется VPN. ACL присвоенные в процессе авторизации пользователей (group policy и per-user ACL) применяются.


    Ответить | Сообщить модератору
    • ACL для ASA, !*! apex2009, 12:51 , 14-Фев-12 (3)
      Всем спасибо, что откликнулись.
      sysopt - отключен, все равно пользователи подключаются
      no sysopt connection permit-vpn

      ACL действительно странный т.к. это последний вариант ACL.
      Вначале действительно создали ACL вот такой:
      access-list VPN ext permit udp host 200.200.х.х host 100.100.х.х eq 500
      access-list VPN ext permit udp host 200.200.х.х host 100.100.х.х eq 4500
      где 200.200.х.х адрес интерфейса, а 100.100.х.х адрес клиентов
      поробовали:
      access-list VPN ext deny udp  any host 200.200.х.х eq 500
      access-list VPN ext deny udp  any host 200.200.х.х eq 4500
      пробовали явно прописать:
      access-list VPN extended deny ip any any
      оставляли на интерфейсе только:
      access-list VPN extended deny ip any any
      Все равно подключаются и пинги идут.
      Направлени ACL:
      access-group VPN in interface outside
      Может еще есть какие-то настройки, глобальные?


      Ответить | Сообщить модератору
  • ACL для ASA, !*! Aleks305, 12:16 , 14-Фев-12 (2)
    >[оверквотинг удален]
    > На обычных роутерах работает, здесь ни как не получается. Пробовали в
    > разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как
    > правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу.
    > ACL писали его в разных направлениях, окончательный вариант:
    > access-list VPN extended permit ip int outside host 200.200.x.x
    > access-list VPN extended permit ip int outside host 200.201.x.x
    > Int:
    > access-group VPN in interface outside
    > Картина получается следующая: по прежнему может подключаться любой пользователь.
    > Что-то мы упустили существенное?

    то есть вам необходимо только с определенных ip разрешить подключение по vpn?
    странный у Вас очень acl
    я так думаю что acl должны быть следующего вида
    access-list VPN extendid permit ip host 100.100.100.1 host 200.200.1.1(это ваш внешний ip для vpn) - этот acl разрешать подключаться к VPN с ip-адреса 100.100.100.1
    access-list VPN extendid deny ip any host 200.200.1.1(это ваш внешний ip для vpn) - остальным запрещено подключаться
    Но такой acl не очень гибкий, я бы сделал так:
    access-list VPN extendid permit udp host 100.100.100.1 host 200.200.1.1 eq 500(разрешаем isakmp)
    access-list VPN extendid permit udp host 100.100.100.1 host 200.200.1.1 eq 4500(разрешаем ipsec)
    access-list VPN extendid deny udp  any host 200.200.1.1 eq 500 всем остальным запрещаем
    access-list VPN extendid deny udp  any host 200.200.1.1 eq 4500 всем остальным запрещаем

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру