forum.opennet.ru - "VPN Client - списки доспупа, полномочия, безопасность" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"VPN Client - списки доспупа, полномочия, безопасность"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"VPN Client - списки доспупа, полномочия, безопасность"
Сообщение от vpnman (ok) on 25-Мрт-08, 10:40
Господа, есть такой вопрос... хотелось бы чтоб удаленные пользователи подключившись к корпорат.сети имели разные права доступа к ресурсам сети на уровне access-list. Можно ли так сделать???? (Тоесть при логине одной группой доступ к одним хостам а при коннекте под другим именем к другим.) я пробовал так, но не работает... при подключении по группе vpnclient пред.полный доступ, по группе vpnclient1 туннель устанавливается но пинга нет ни одного узла. aaa authentication login userauthen local aaa authorization network groupauthor local ! username USER password 0 USER ! ! crypto isakmp client configuration group vpnclient key katya dns 10.10.221.9 domain sales pool ippool acl 101 ! crypto isakmp client configuration group vpnclient1 key masha dns 10.10.221.9 domain sales pool ippool1 acl 120 ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac ! crypto dynamic-map dynmap 10 set transform-set myset reverse-route ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ip local pool ippool 10.10.221.25 10.10.221.26 ip local pool ippool1 10.10.221.27 10.10.221.28 ! access-list 101 permit ip any any (разрешины все хосты) ! (хотелось бы разрешить только хосты 10.10.221.20 и 11) но не работает access-list 120 permit ip host 10.10.221.20 host 10.10.221.27 access-list 120 permit ip host 10.10.221.20 host 10.10.221.28 access-list 120 permit ip host 10.10.221.11 host 10.10.221.27 access-list 120 permit ip host 10.10.221.11 host 10.10.221.28 access-list 120 deny ip any any
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

VPN Client - списки доспупа, полномочия, безопасность, CrAzOiD, 10:43 , 25-Мрт-08, (1)

VPN Client - списки доспупа, полномочия, безопасность, vpnman, 11:02 , 25-Мрт-08, (2)
VPN Client - списки доспупа, полномочия, безопасность, vpnman, 11:06 , 25-Мрт-08, (3)
VPN Client - списки доспупа, полномочия, безопасность, vpnman, 12:39 , 25-Мрт-08, (4)

VPN Client - списки доспупа, полномочия, безопасность, Helper, 06:20 , 26-Мрт-08, (5)

VPN Client - списки доспупа, полномочия, безопасность, vpnman, 09:46 , 26-Мрт-08, (6)

VPN Client - списки доспупа, полномочия, безопасность, CrAzOiD, 09:52 , 26-Мрт-08, (7)

VPN Client - списки доспупа, полномочия, безопасность, vpnman, 10:19 , 26-Мрт-08, (8)

VPN Client - списки доспупа, полномочия, безопасность, CrAzOiD, 10:32 , 26-Мрт-08, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "VPN Client - списки доспупа, полномочия, безопасность"

Сообщение от CrAzOiD (ok) on 25-Мрт-08, 10:43

>[оверквотинг удален]
>ip local pool ippool1 10.10.221.27 10.10.221.28
>!
>access-list 101 permit ip any any (разрешины все хосты)
>!
>(хотелось бы разрешить только хосты 10.10.221.20 и 11) но не работает
>access-list 120 permit ip host 10.10.221.20 host 10.10.221.27
>access-list 120 permit ip host 10.10.221.20 host 10.10.221.28
>access-list 120 permit ip host 10.10.221.11 host 10.10.221.27
>access-list 120 permit ip host 10.10.221.11 host 10.10.221.28
>access-list 120 deny ip any any
120 ACL настроен неправильно, поменяйте местами хосты в каждй записи

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "VPN Client - списки доспупа, полномочия, безопасность"

Сообщение от vpnman (ok) on 25-Мрт-08, 11:02

я так и сделал, и всеравно не работает...вот что мне не понятно.
а вообще такой конфиг правильный? вообще принцип...
Вы не пробовали на практике такую конфигурацию?
допустимо вообще наличии нескольких груп ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "VPN Client - списки доспупа, полномочия, безопасность"

Сообщение от vpnman (ok) on 25-Мрт-08, 11:06

я подумал и сделал подругому (чтоб упростить)
НО НЕ РАБОТАЕТ ВСЕРАВНО!!!!!
crypto isakmp client configuration group vpnclient
key czins133
dns 10.10.221.9
domain czins
pool ippool
acl 101
!
crypto isakmp client configuration group vpnclient1
key czins785
dns 10.10.221.9
domain czins
pool ippool1
acl 1
access-list 101 permit ip any any
access-list 1 permit 10.10.221.11
access-list 1 permit 10.10.221.20
access-list 1 deny any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "VPN Client - списки доспупа, полномочия, безопасность"

Сообщение от vpnman (ok) on 25-Мрт-08, 12:39

люди добрые, подскажите...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "VPN Client - списки доспупа, полномочия, безопасность"

Сообщение от Helper on 26-Мрт-08, 06:20

>люди добрые, подскажите...
ACL только задает таблицу маршрутизации на vpn-клиенте. Больше ничего

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "VPN Client - списки доспупа, полномочия, безопасность"

Сообщение от vpnman (ok) on 26-Мрт-08, 09:46

понятно, я подозревал это так как пробовал вообще без acl (в первом, рабочем случае).
хммм...а что же делать? как поступить в моем случае, или это нельзя воплотить в принципе?
задача такова...
конект под group1 - видит всю подсеть.
коннект под group2 - видит только определенные хосты.
коннект под group3 - к примеру определенные хосты по определенным портам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "VPN Client - списки доспупа, полномочия, безопасность"

Сообщение от CrAzOiD (ok) on 26-Мрт-08, 09:52

>понятно, я подозревал это так как пробовал вообще без acl (в первом,
>рабочем случае).
>хммм...а что же делать? как поступить в моем случае, или это нельзя
>воплотить в принципе?
>
>задача такова...
>конект под group1 - видит всю подсеть.
>коннект под group2 - видит только определенные хосты.
>коннект под group3 - к примеру определенные хосты по определенным портам.
мой вам совет, для выдачи клиентам VPN IP адресов возьмите не адреса локальной сети. Выберите свободную сеть/подсеть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "VPN Client - списки доспупа, полномочия, безопасность"

Сообщение от vpnman (ok) on 26-Мрт-08, 10:19

а по чему так? поясните пожалуйста? с выдачей ip из той же подсети не нужно делать маршрутизацию, да и упрощается все. Почему советуете другую подсеть? (в докак тоже используется другая подсеть но нет описания причины)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "VPN Client - списки доспупа, полномочия, безопасность"

Сообщение от CrAzOiD (ok) on 26-Мрт-08, 10:32

>а по чему так? поясните пожалуйста? с выдачей ip из той же
>подсети не нужно делать маршрутизацию, да и упрощается все. Почему советуете
>другую подсеть? (в докак тоже используется другая подсеть но нет описания
>причины)
маршрутизация все равно будет, хотя бы потому что присоединившится клиентам надо отправлять пакеты в другой интерфейс, вот и возможны проблемы
например с точки зрения жителя докальной сети адрес назначенный VPN клиенту считается локальным и пакеты не будут направляться на DG (что бы дальше уйти по туннелю) - ваш маршрутизатор. Вот вам проблема

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPN Client - списки доспупа, полномочия, безопасность"
Сообщение от CrAzOiD (ok) on 25-Мрт-08, 10:43
>[оверквотинг удален] >ip local pool ippool1 10.10.221.27 10.10.221.28 >! >access-list 101 permit ip any any (разрешины все хосты) >! >(хотелось бы разрешить только хосты 10.10.221.20 и 11) но не работает >access-list 120 permit ip host 10.10.221.20 host 10.10.221.27 >access-list 120 permit ip host 10.10.221.20 host 10.10.221.28 >access-list 120 permit ip host 10.10.221.11 host 10.10.221.27 >access-list 120 permit ip host 10.10.221.11 host 10.10.221.28 >access-list 120 deny ip any any 120 ACL настроен неправильно, поменяйте местами хосты в каждй записи
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "VPN Client - списки доспупа, полномочия, безопасность"
	Сообщение от vpnman (ok) on 25-Мрт-08, 11:02
	я так и сделал, и всеравно не работает...вот что мне не понятно. а вообще такой конфиг правильный? вообще принцип... Вы не пробовали на практике такую конфигурацию? допустимо вообще наличии нескольких груп ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "VPN Client - списки доспупа, полномочия, безопасность"
	Сообщение от vpnman (ok) on 25-Мрт-08, 11:06
	я подумал и сделал подругому (чтоб упростить) НО НЕ РАБОТАЕТ ВСЕРАВНО!!!!! crypto isakmp client configuration group vpnclient key czins133 dns 10.10.221.9 domain czins pool ippool acl 101 ! crypto isakmp client configuration group vpnclient1 key czins785 dns 10.10.221.9 domain czins pool ippool1 acl 1 access-list 101 permit ip any any access-list 1 permit 10.10.221.11 access-list 1 permit 10.10.221.20 access-list 1 deny any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "VPN Client - списки доспупа, полномочия, безопасность"
	Сообщение от vpnman (ok) on 25-Мрт-08, 12:39
	люди добрые, подскажите...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "VPN Client - списки доспупа, полномочия, безопасность"
	Сообщение от Helper on 26-Мрт-08, 06:20
	>люди добрые, подскажите... ACL только задает таблицу маршрутизации на vpn-клиенте. Больше ничего
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "VPN Client - списки доспупа, полномочия, безопасность"
	Сообщение от vpnman (ok) on 26-Мрт-08, 09:46
	понятно, я подозревал это так как пробовал вообще без acl (в первом, рабочем случае). хммм...а что же делать? как поступить в моем случае, или это нельзя воплотить в принципе? задача такова... конект под group1 - видит всю подсеть. коннект под group2 - видит только определенные хосты. коннект под group3 - к примеру определенные хосты по определенным портам.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "VPN Client - списки доспупа, полномочия, безопасность"
	Сообщение от CrAzOiD (ok) on 26-Мрт-08, 09:52
	>понятно, я подозревал это так как пробовал вообще без acl (в первом, >рабочем случае). >хммм...а что же делать? как поступить в моем случае, или это нельзя >воплотить в принципе? > >задача такова... >конект под group1 - видит всю подсеть. >коннект под group2 - видит только определенные хосты. >коннект под group3 - к примеру определенные хосты по определенным портам. мой вам совет, для выдачи клиентам VPN IP адресов возьмите не адреса локальной сети. Выберите свободную сеть/подсеть.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "VPN Client - списки доспупа, полномочия, безопасность"
	Сообщение от vpnman (ok) on 26-Мрт-08, 10:19
	а по чему так? поясните пожалуйста? с выдачей ip из той же подсети не нужно делать маршрутизацию, да и упрощается все. Почему советуете другую подсеть? (в докак тоже используется другая подсеть но нет описания причины)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "VPN Client - списки доспупа, полномочия, безопасность"
	Сообщение от CrAzOiD (ok) on 26-Мрт-08, 10:32
	>а по чему так? поясните пожалуйста? с выдачей ip из той же >подсети не нужно делать маршрутизацию, да и упрощается все. Почему советуете >другую подсеть? (в докак тоже используется другая подсеть но нет описания >причины) маршрутизация все равно будет, хотя бы потому что присоединившится клиентам надо отправлять пакеты в другой интерфейс, вот и возможны проблемы например с точки зрения жителя докальной сети адрес назначенный VPN клиенту считается локальным и пакеты не будут направляться на DG (что бы дальше уйти по туннелю) - ваш маршрутизатор. Вот вам проблема
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]