Anticisco
http://anticisco.ru/forum/

vpn ipsec acl
http://anticisco.ru/forum/viewtopic.php?f=2&t=11261
Страница 1 из 1

Автор:  djakson [ 06 мар 2020, 10:36 ]
Заголовок сообщения:  vpn ipsec acl

Здравствуйте!

Между филиалами поднят VPN Regular IPSec

Код:
crypto isakmp policy 4
 encr aes XXX
 hash shaXXX
 authentication pre-share
 group 2
crypto isakmp key ******** address ********
crypto isakmp keepalive 15
!
!
crypto ipsec transform-set HUB1 esp-aes *** esp-sha***-hmac
 mode tunnel
!
!
!
crypto map HUB_SPOKEs 1 ipsec-isakmp
 set peer ******
 set transform-set HUB
 set pfs group2
 match address SPOKE

interface Dialer0
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 ip tcp adjust-mss 1432
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname *****
 ppp chap password *****
 crypto map HUB_SPOKEs

ip access-list extended SPOKE
 permit ip local_net filial_net


Но в данной настройке в ACL SPOKE разрешен трафик весь!
Мне необходимо ограничить хождение нужного трафика из филиала в филиал.
К примеру разрешить подключение из филиала1 к хосту филиала2 к порту 3389 ну т.д. различные комбинации.
Пробовал создавать правила ACL на интерфейс но они почему то не работают.
Если создаю ACL SPOKE с ограничениями то перестает подыматься VPN.
Подскажите как рулить трафиком внутри VPN?

Автор:  root99 [ 06 мар 2020, 12:44 ]
Заголовок сообщения:  Re: vpn ipsec acl

это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более.

Автор:  djakson [ 06 мар 2020, 13:30 ]
Заголовок сообщения:  Re: vpn ipsec acl

root99 писал(а):
это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более.


Я пробовал вешать acl на интерфейс локальной сети в направлении in но толку ноль.

Автор:  ikiliikkuja [ 06 мар 2020, 14:19 ]
Заголовок сообщения:  Re: vpn ipsec acl

djakson писал(а):
root99 писал(а):
это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более.


Я пробовал вешать acl на интерфейс локальной сети в направлении in но толку ноль.

В криптомапу надо вешать

Автор:  djakson [ 06 мар 2020, 14:55 ]
Заголовок сообщения:  Re: vpn ipsec acl

ikiliikkuja писал(а):
djakson писал(а):
root99 писал(а):
это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более.


Я пробовал вешать acl на интерфейс локальной сети в направлении in но толку ноль.

В криптомапу надо вешать


Можно пример плиз.

Автор:  Silent_D [ 07 мар 2020, 00:25 ]
Заголовок сообщения:  Re: vpn ipsec acl

ikiliikkuja писал(а):
В криптомапу надо вешать

Нафиг crypto map, это уже давно не актульно.
Настройте VTI, на них по идее ACL должны работать, как на обычном интерфейсе.

Автор:  ikiliikkuja [ 09 мар 2020, 08:16 ]
Заголовок сообщения:  Re: vpn ipsec acl

djakson писал(а):
Можно пример плиз.


https://www.cisco.com/c/en/us/td/docs/i ... 623D7157EC

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/