Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 15:27



Ответить на тему  [ Сообщений: 7 ] 
vpn ipsec acl 
Автор Сообщение

Зарегистрирован: 27 июн 2015, 14:29
Сообщения: 42
Здравствуйте!

Между филиалами поднят VPN Regular IPSec

Код:
crypto isakmp policy 4
 encr aes XXX
 hash shaXXX
 authentication pre-share
 group 2
crypto isakmp key ******** address ********
crypto isakmp keepalive 15
!
!
crypto ipsec transform-set HUB1 esp-aes *** esp-sha***-hmac
 mode tunnel
!
!
!
crypto map HUB_SPOKEs 1 ipsec-isakmp
 set peer ******
 set transform-set HUB
 set pfs group2
 match address SPOKE

interface Dialer0
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 ip tcp adjust-mss 1432
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname *****
 ppp chap password *****
 crypto map HUB_SPOKEs

ip access-list extended SPOKE
 permit ip local_net filial_net


Но в данной настройке в ACL SPOKE разрешен трафик весь!
Мне необходимо ограничить хождение нужного трафика из филиала в филиал.
К примеру разрешить подключение из филиала1 к хосту филиала2 к порту 3389 ну т.д. различные комбинации.
Пробовал создавать правила ACL на интерфейс но они почему то не работают.
Если создаю ACL SPOKE с ограничениями то перестает подыматься VPN.
Подскажите как рулить трафиком внутри VPN?


06 мар 2020, 10:36
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более.


06 мар 2020, 12:44
Профиль

Зарегистрирован: 27 июн 2015, 14:29
Сообщения: 42
root99 писал(а):
это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более.


Я пробовал вешать acl на интерфейс локальной сети в направлении in но толку ноль.


06 мар 2020, 13:30
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
djakson писал(а):
root99 писал(а):
это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более.


Я пробовал вешать acl на интерфейс локальной сети в направлении in но толку ноль.

В криптомапу надо вешать


06 мар 2020, 14:19
Профиль

Зарегистрирован: 27 июн 2015, 14:29
Сообщения: 42
ikiliikkuja писал(а):
djakson писал(а):
root99 писал(а):
это же криптомап - здесь вы только описываете какие сети заворачиваются в туннель, не более.


Я пробовал вешать acl на интерфейс локальной сети в направлении in но толку ноль.

В криптомапу надо вешать


Можно пример плиз.


06 мар 2020, 14:55
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
ikiliikkuja писал(а):
В криптомапу надо вешать

Нафиг crypto map, это уже давно не актульно.
Настройте VTI, на них по идее ACL должны работать, как на обычном интерфейсе.

_________________
Knowledge is Power


07 мар 2020, 00:25
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
djakson писал(а):
Можно пример плиз.


https://www.cisco.com/c/en/us/td/docs/i ... 623D7157EC


09 мар 2020, 08:16
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 48


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB