Добрый день.
Настроил клиентский доступ по L2TP/IPsec по статье Configure L2TP Over IPsec Between Windows 8 PC and ASA Using Pre-shared Key Всё почти тоже самое только у меня авторизация пользователя идет через AD (LDAP) по значению поля msNPAllowDialin у пользователя. Всё хорошо работает.
Но мне надо сделать ограничения по протоколам с которыми пользователь подключается к сети. Захотел я чтобы он по RDP только мог подключаться, хорошо, конфигурирую, я Dynamic Access Policy где идет проверка ещё и по принадлежности пользователя к группе, и вешаю ACL на DAP, любой ACL даже самый простой без ограничений, где можно только для RDP и DNS, например, а весь IP трафик пусть
Код:
access-list AnyConnect_Client_RDP_Only extended permit ip object VPN_POOL object-group Internal
после этого перестаёт работать разделение Split tunneling и маршруты в таблицу маршрутизации Windows не вбрасываются. Как только в DAP убираешь ACL всё работает как надо, без ограничений по протоколам правда.
С клиентом AnyConnect DAP с ACL работаете корректно, рубит всё что прописано в ACL кроме RDP и DNS. Split tunneling тоже работает нормально.
Есть мысли почему по L2TP/IPsec при применении любого ACL в DAP перестаёт работать Split tunneling ???
| Вложения: |
|
Screenshot_16 (Копировать).jpg [ 239.94 КБ | Просмотров: 2797 ] |