Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:57



Ответить на тему  [ Сообщений: 2 ] 
L2TP Over IPsec на ASA 
Автор Сообщение

Зарегистрирован: 04 июн 2021, 10:25
Сообщения: 5
Добрый день.
Настроил клиентский доступ по L2TP/IPsec по статье Configure L2TP Over IPsec Between Windows 8 PC and ASA Using Pre-shared Key Всё почти тоже самое только у меня авторизация пользователя идет через AD (LDAP) по значению поля msNPAllowDialin у пользователя. Всё хорошо работает.
Но мне надо сделать ограничения по протоколам с которыми пользователь подключается к сети. Захотел я чтобы он по RDP только мог подключаться, хорошо, конфигурирую, я Dynamic Access Policy где идет проверка ещё и по принадлежности пользователя к группе, и вешаю ACL на DAP, любой ACL даже самый простой без ограничений, где можно только для RDP и DNS, например, а весь IP трафик пусть
Код:
access-list AnyConnect_Client_RDP_Only extended permit ip object VPN_POOL object-group Internal

после этого перестаёт работать разделение Split tunneling и маршруты в таблицу маршрутизации Windows не вбрасываются. Как только в DAP убираешь ACL всё работает как надо, без ограничений по протоколам правда.
С клиентом AnyConnect DAP с ACL работаете корректно, рубит всё что прописано в ACL кроме RDP и DNS. Split tunneling тоже работает нормально.

Есть мысли почему по L2TP/IPsec при применении любого ACL в DAP перестаёт работать Split tunneling ???


Вложения:
Screenshot_16 (Копировать).jpg
Screenshot_16 (Копировать).jpg [ 239.94 КБ | Просмотров: 2789 ]
09 авг 2021, 11:58
Профиль

Зарегистрирован: 04 июн 2021, 10:25
Сообщения: 5
Поразбиравшись в проблеме, настроил-таки.
Пришлось добавить ещё один Access List в DAP для L2TP подключения UDP 67 порт.
access-list L2TP_INTERCEPT_DHCP extended permit udp object VPN_POOL any eq bootps

теперь выглядит так
Код:
dynamic-access-policy-record "L2TP Restricted Access RA VPN Dynamic Policy"
 network-acl AnyConnect_Client_RDP_Only
 network-acl L2TP_INTERCEPT_DHCP
access-list AnyConnect_Client_RDP_Only extended permit object-group DM_INLINE_SERVICE_1 object VPN_POOL object-group Internal
access-list L2TP_INTERCEPT_DHCP extended permit udp object VPN_POOL any eq bootps
object-group service DM_INLINE_SERVICE_1
 service-object object RDP
 service-object udp destination eq domain
object service RDP
 service tcp destination eq 3389
 description Remote Desktop Protocol


Теперь маршруты вбрасываются для L2TP подключений как положено


Вложения:
Screenshot_17 (Копировать).jpg
Screenshot_17 (Копировать).jpg [ 247.58 КБ | Просмотров: 2741 ]
10 авг 2021, 05:22
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 2 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 58


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB