Anticisco http://anticisco.ru/forum/ |
|
vpn ipsec acl http://anticisco.ru/forum/viewtopic.php?f=2&t=11261 |
Страница 1 из 1 |
Автор: | djakson [ 06 мар 2020, 10:36 ] |
Заголовок сообщения: | vpn ipsec acl |
Здравствуйте! Между филиалами поднят VPN Regular IPSec Код: crypto isakmp policy 4 encr aes XXX hash shaXXX authentication pre-share group 2 crypto isakmp key ******** address ******** crypto isakmp keepalive 15 ! ! crypto ipsec transform-set HUB1 esp-aes *** esp-sha***-hmac mode tunnel ! ! ! crypto map HUB_SPOKEs 1 ipsec-isakmp set peer ****** set transform-set HUB set pfs group2 match address SPOKE interface Dialer0 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip nat outside encapsulation ppp ip tcp adjust-mss 1432 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname ***** ppp chap password ***** crypto map HUB_SPOKEs ip access-list extended SPOKE permit ip local_net filial_net Но в данной настройке в ACL SPOKE разрешен трафик весь! Мне необходимо ограничить хождение нужного трафика из филиала в филиал. К примеру разрешить подключение из филиала1 к хосту филиала2 к порту 3389 ну т.д. различные комбинации. Пробовал создавать правила ACL на интерфейс но они почему то не работают. Если создаю ACL SPOKE с ограничениями то перестает подыматься VPN. Подскажите как рулить трафиком внутри VPN? |
Автор: | root99 [ 06 мар 2020, 12:44 ] |
Заголовок сообщения: | Re: vpn ipsec acl |
это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более. |
Автор: | djakson [ 06 мар 2020, 13:30 ] |
Заголовок сообщения: | Re: vpn ipsec acl |
root99 писал(а): это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более. Я пробовал вешать acl на интерфейс локальной сети в направлении in но толку ноль. |
Автор: | ikiliikkuja [ 06 мар 2020, 14:19 ] |
Заголовок сообщения: | Re: vpn ipsec acl |
djakson писал(а): root99 писал(а): это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более. Я пробовал вешать acl на интерфейс локальной сети в направлении in но толку ноль. В криптомапу надо вешать |
Автор: | djakson [ 06 мар 2020, 14:55 ] |
Заголовок сообщения: | Re: vpn ipsec acl |
ikiliikkuja писал(а): djakson писал(а): root99 писал(а): это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более. Я пробовал вешать acl на интерфейс локальной сети в направлении in но толку ноль. В криптомапу надо вешать Можно пример плиз. |
Автор: | Silent_D [ 07 мар 2020, 00:25 ] |
Заголовок сообщения: | Re: vpn ipsec acl |
ikiliikkuja писал(а): В криптомапу надо вешать Нафиг crypto map, это уже давно не актульно. Настройте VTI, на них по идее ACL должны работать, как на обычном интерфейсе. |
Автор: | ikiliikkuja [ 09 мар 2020, 08:16 ] |
Заголовок сообщения: | Re: vpn ipsec acl |
djakson писал(а): Можно пример плиз. https://www.cisco.com/c/en/us/td/docs/i ... 623D7157EC |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |