Anticisco https://anticisco.ru/forum/ |
|
L2TP Over IPsec на ASA https://anticisco.ru/forum/viewtopic.php?f=2&t=11608 |
Страница 1 из 1 |
Автор: | Radm [ 09 авг 2021, 11:58 ] | ||
Заголовок сообщения: | L2TP Over IPsec на ASA | ||
Добрый день. Настроил клиентский доступ по L2TP/IPsec по статье Configure L2TP Over IPsec Between Windows 8 PC and ASA Using Pre-shared Key Всё почти тоже самое только у меня авторизация пользователя идет через AD (LDAP) по значению поля msNPAllowDialin у пользователя. Всё хорошо работает. Но мне надо сделать ограничения по протоколам с которыми пользователь подключается к сети. Захотел я чтобы он по RDP только мог подключаться, хорошо, конфигурирую, я Dynamic Access Policy где идет проверка ещё и по принадлежности пользователя к группе, и вешаю ACL на DAP, любой ACL даже самый простой без ограничений, где можно только для RDP и DNS, например, а весь IP трафик пусть Код: access-list AnyConnect_Client_RDP_Only extended permit ip object VPN_POOL object-group Internal после этого перестаёт работать разделение Split tunneling и маршруты в таблицу маршрутизации Windows не вбрасываются. Как только в DAP убираешь ACL всё работает как надо, без ограничений по протоколам правда. С клиентом AnyConnect DAP с ACL работаете корректно, рубит всё что прописано в ACL кроме RDP и DNS. Split tunneling тоже работает нормально. Есть мысли почему по L2TP/IPsec при применении любого ACL в DAP перестаёт работать Split tunneling ???
|
Автор: | Radm [ 10 авг 2021, 05:22 ] | ||
Заголовок сообщения: | Re: L2TP Over IPsec на ASA | ||
Поразбиравшись в проблеме, настроил-таки. Пришлось добавить ещё один Access List в DAP для L2TP подключения UDP 67 порт. access-list L2TP_INTERCEPT_DHCP extended permit udp object VPN_POOL any eq bootps теперь выглядит так Код: dynamic-access-policy-record "L2TP Restricted Access RA VPN Dynamic Policy" network-acl AnyConnect_Client_RDP_Only network-acl L2TP_INTERCEPT_DHCP access-list AnyConnect_Client_RDP_Only extended permit object-group DM_INLINE_SERVICE_1 object VPN_POOL object-group Internal access-list L2TP_INTERCEPT_DHCP extended permit udp object VPN_POOL any eq bootps object-group service DM_INLINE_SERVICE_1 service-object object RDP service-object udp destination eq domain object service RDP service tcp destination eq 3389 description Remote Desktop Protocol Теперь маршруты вбрасываются для L2TP подключений как положено
|
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |