AnyConnect Mix Split-Tunneling

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
khazar
rookie
rookie
Posty: 12
Rejestracja: 11 paź 2007, 14:49
Lokalizacja: Solec Kujawski

AnyConnect Mix Split-Tunneling

#1

#1 Post autor: khazar »

Witam wszystkich,

Konfiguruję AnyConnect na ASA 5505 i mam takie wymaganie, aby do wnętrza tunelu zawijany był ruch do sieci prywatnych wg RFC 1918, lecz nie ruch z sieci lokalnej, w której znajduje się użytkownik. W CLI odnalazłem 2 metody konfigurowania splita:

- split include - potrzebna jest jawna definicja sieci w ACL, do której pakiety będą wpuszczane w tunel
- split exclude - odwrotnie - cały ruch zawijany jest do tunelu, z wyjątkiem sieci jawnie podanych w ACL

W drugiej opcji można wskazać, aby ruch lokalny nie był umieszczany w tunelu (z pewnymi ograniczeniami m.in. broadcastu):

http://www.cisco.com/c/en/us/support/do ... x-asa.html

Obie metody po konfiguracji działają prawidłowo, jednak nie spełniają pierwotnego wymagania tzn. w pewnym sensie połączenia jednej i drugiej metody. Czy jest sposób na rozwiązanie tego problemu ?

Przeszukiwalem wcześniej forum, niestety nie natknąłem się na podobny problem :/ rozwiązanie znacznie ułatwiłoby życie w kilku scenariuszach :) z góry wielkie dzięki :)

doxer
member
member
Posty: 31
Rejestracja: 25 lut 2009, 07:09

#2

#2 Post autor: doxer »

W samym anyconnect możesz włączać/wyłączać "Allow local(LAN) access when using VPN" - polem możesz sterować rownież w profilu dla anyconnect link

khazar
rookie
rookie
Posty: 12
Rejestracja: 11 paź 2007, 14:49
Lokalizacja: Solec Kujawski

#3

#3 Post autor: khazar »

Opcja działa w przypadku wyboru split-exclude i zawijania całego ruchu przez tunel, nie w przypadku split-include, kiedy brama VPN narzuca trasy, w tym przypadku do klas prywatnych.

ODPOWIEDZ