CCIE.pl

site 4 CCIE wannabies
It is currently 23 Jan 2017, 15:46

All times are UTC+01:00




Post new topic  Reply to topic  [ 10 posts ] 
Author Message
 Post subject: Anyconnect i http
Post #1 Posted: 12 Dec 2016, 20:00 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
Witam,

muszę poradzić się bardziej doświadczonych kolegów.

W jaki sposób najlepiej na Cisco ASA w połączeniu z SSL VPN zrobić tak, aby tylko ruch http lub https wpadał w tunel a reszta nie?
Czy "vpn-filter" załatwi sprawę? Czy da się to lepiej zrobić?


Top
   
 Post subject: Re: Anyconnect i http
Post #2 Posted: 13 Dec 2016, 16:47 
Offline
wannabe
wannabe
User avatar

Joined: 16 Nov 2004, 13:55
Posts: 1661
Location: Edinburgh
Tzn chcesz aby polaczenie do tego samego IPka po porcie 80,443 bylo tunelowane a innym razem nie (cos spoza 80,443)? Czy chcesz tylko zablokowac mozliwosc polaczenia sie z pozostalymi portami.

_________________
Jeden konfig wart więcej niż tysiąc słów


Top
   
 Post subject: Re: Anyconnect i http
Post #3 Posted: 13 Dec 2016, 20:05 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
frontier wrote:
Tzn chcesz aby polaczenie do tego samego IPka po porcie 80,443 bylo tunelowane a innym razem nie (cos spoza 80,443)? Czy chcesz tylko zablokowac mozliwosc polaczenia sie z pozostalymi portami.


tak;)

dostęp przez VPN ma być łączność dla portów 80 i 443 a reszta ma wychodzić lokalnym łączem użytkownika.
I może ważne info;) i nie chodzi tylko o serwery lokalne(poty (80 i 443), ale ruch do świata dla portów 80 i 443 też ma trafiać w tunel ;)


Top
   
 Post subject: Re: Anyconnect i http
Post #4 Posted: 13 Dec 2016, 21:33 
Offline
wannabe
wannabe

Joined: 10 Apr 2006, 10:37
Posts: 591
Location: Scotland
piter1789 wrote:

tak;)

dostęp przez VPN ma być łączność dla portów 80 i 443 a reszta ma wychodzić lokalnym łączem użytkownika.
I może ważne info;) i nie chodzi tylko o serwery lokalne(poty (80 i 443), ale ruch do świata dla portów 80 i 443 też ma trafiać w tunel ;)


z zasady robię to na Layer3 a nie L4 ale powinno to wyglądać tak:
Code:
access-list ACL_RVPN_SPLIT ext permit tcp any  any eq http
access-list ACL_RVPN_SPLIT ext permit tcp any  any eq https


group-policy RVPN_SPLIT internal
group-policy RVPN_SPLIT attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value ACL_RVPN_SPLIT


tunnel-group RVPN_SPLIT_TUNNEL general-attributes
 default-group-policy RVPN_SPLIT


rozumiem że miałoby to sens dla firmowych serwerow bo jeśli chcesz split tunnel dla http(s) możesz mieć trochę rzeźbienia z DNSami bo mogą być problemy - raczej musisz dorzucić DNSy do VPN + standardowo nat (out,out) dla IP pool dla RVPN jesli ASA >=8.3

_________________
ML


Top
   
 Post subject: Re: Anyconnect i http
Post #5 Posted: 13 Dec 2016, 22:28 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
Właśnie w ten sposób próbuję i coś nie działa, szukam jakiegoś bug czy coś, ale bez sukcesu...

Ogólnie chodzi o to, że część bibliotek udostępnia zbiory gdy wychodzisz na świat konkretnym IP i tutaj aby pracownikom umożliwić dostęp do takich zasobów potrzebuję to zrobić w ten sposób.

a opcja vpn-filter?

też zawsze to robiłem na L3, i było ok;) a na L4 pierwszy raz.;)


Top
   
 Post subject: Re: Anyconnect i http
Post #6 Posted: 13 Dec 2016, 22:58 
Offline
wannabe
wannabe

Joined: 10 Apr 2006, 10:37
Posts: 591
Location: Scotland
piter1789 wrote:
Właśnie w ten sposób próbuję i coś nie działa, szukam jakiegoś bug czy coś, ale bez sukcesu...

Ogólnie chodzi o to, że część bibliotek udostępnia zbiory gdy wychodzisz na świat konkretnym IP i tutaj aby pracownikom umożliwić dostęp do takich zasobów potrzebuję to zrobić w ten sposób.

a opcja vpn-filter?

też zawsze to robiłem na L3, i było ok;) a na L4 pierwszy raz.;)


vpn-filter używam tylko dla L2L do blokady dostępu kiedy crypto_acl jest na L3 (jedyne sensowne i skalowalne rozwiązanie), dla RVPN jak powyżej z tym ze standard ACL. Tak jak pisałem wcześniej testowałem to kiedyś (jeszcze na pre-8.3) i były problemy z DNSem bo się rozjeżdżał. może opcja tunnelall a vpn-filter do blokady czego RVPN userzy nie powinni mieć przez RVPN (zasoby enterprise?) ? ewentualnie split-tunnel i kazać userom robic RDP na jakiś terminal? a reszta lokalnie?

p.s. trochę mało danych ale problem ciekawy :) a może poza RFC1918 dorzucić tylko te konkretne IP gdzie user ma się dostać z korpo-IP (zakładając że skalowalne)? lub RVPN crypto ACL po FQDN (nigdy nie testowałem) i zostawić DNSy po stronie usera? osobiście bym jednak szedł w tunnelall + blokady

_________________
ML


Top
   
 Post subject: Re: Anyconnect i http
Post #7 Posted: 13 Dec 2016, 23:11 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
a co byś potrzebował jeszcze?, w sensie danych;)

powiem tak, że coś z tą L4 nie działa :/ dns mi działają po VPN, a ruch http/https idzie lokalnym łączem, no chyba, że anyconnect ma coś nie tak:p

No jeśli się nie da to tunelall + deny na całą sieć wewnętrzną;) - tak jak pisałeś;))

zawsze pozostaje clientless;)

chyba, że ktoś ma jakiś pomysł jeszcze?;)


Top
   
 Post subject: Re: Anyconnect i http
Post #8 Posted: 13 Dec 2016, 23:39 
Offline
wannabe
wannabe

Joined: 10 Apr 2006, 10:37
Posts: 591
Location: Scotland
piter1789 wrote:
a co byś potrzebował jeszcze?, w sensie danych;)

powiem tak, że coś z tą L4 nie działa :/ dns mi działają po VPN, a ruch http/https idzie lokalnym łączem, no chyba, że anyconnect ma coś nie tak:p

No jeśli się nie da to tunelall + deny na całą sieć wewnętrzną;) - tak jak pisałeś;))

zawsze pozostaje clientless;)

chyba, że ktoś ma jakiś pomysł jeszcze?;)


do clientless potrzebujesz licencji Apex (zakładam AnyConnect4.x), ale pewnie o tym wiesz.

chyba się zasugerowałem i zapędziłem... nie pamiętam na 100% (99.999% :) ) ale dla RVPN działają tylko standard ACL...

_________________
ML


Top
   
 Post subject: Re: Anyconnect i http
Post #9 Posted: 14 Dec 2016, 00:02 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
tak;) mam licencję Apex;)

no jak standard ACL to po L4:p hehe i pozostaje to co wcześniej sugerowałeś;)

ale z tego co widzę to:

http://www.cisco.com/c/en/us/td/docs/se ... -acls.html

VPN access and filtering
Extended
Standard
Group policies for remote access and site to site VPNs use standard or extended ACLs for filtering. Remote access VPNs also use extended ACLs for client firewall configurations and dynamic access policies.


Top
   
 Post subject: Anyconnect i http
Post #10 Posted: 04 Jan 2017, 16:52 
Offline
newbie
newbie

Joined: 02 Jan 2017, 12:38
Posts: 1
Just use rewrite rule to 301 redirect from http to https if you want to enforce that. This can also be done in php.

_________________
prawnik Gdańsk


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 10 posts ] 

All times are UTC+01:00


Who is online

Users browsing this forum: No registered users and 2 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited