Anyconnect i http
Anyconnect i http
Witam,
muszę poradzić się bardziej doświadczonych kolegów.
W jaki sposób najlepiej na Cisco ASA w połączeniu z SSL VPN zrobić tak, aby tylko ruch http lub https wpadał w tunel a reszta nie?
Czy "vpn-filter" załatwi sprawę? Czy da się to lepiej zrobić?
muszę poradzić się bardziej doświadczonych kolegów.
W jaki sposób najlepiej na Cisco ASA w połączeniu z SSL VPN zrobić tak, aby tylko ruch http lub https wpadał w tunel a reszta nie?
Czy "vpn-filter" załatwi sprawę? Czy da się to lepiej zrobić?
Re: Anyconnect i http
Tzn chcesz aby polaczenie do tego samego IPka po porcie 80,443 bylo tunelowane a innym razem nie (cos spoza 80,443)? Czy chcesz tylko zablokowac mozliwosc polaczenia sie z pozostalymi portami.
Jeden konfig wart więcej niż tysiąc słów
Re: Anyconnect i http
tak;)frontier pisze:Tzn chcesz aby polaczenie do tego samego IPka po porcie 80,443 bylo tunelowane a innym razem nie (cos spoza 80,443)? Czy chcesz tylko zablokowac mozliwosc polaczenia sie z pozostalymi portami.
dostęp przez VPN ma być łączność dla portów 80 i 443 a reszta ma wychodzić lokalnym łączem użytkownika.
I może ważne info;) i nie chodzi tylko o serwery lokalne(poty (80 i 443), ale ruch do świata dla portów 80 i 443 też ma trafiać w tunel
Re: Anyconnect i http
z zasady robię to na Layer3 a nie L4 ale powinno to wyglądać tak:piter1789 pisze:
tak;)
dostęp przez VPN ma być łączność dla portów 80 i 443 a reszta ma wychodzić lokalnym łączem użytkownika.
I może ważne info;) i nie chodzi tylko o serwery lokalne(poty (80 i 443), ale ruch do świata dla portów 80 i 443 też ma trafiać w tunel
Kod: Zaznacz cały
access-list ACL_RVPN_SPLIT ext permit tcp any any eq http
access-list ACL_RVPN_SPLIT ext permit tcp any any eq https
group-policy RVPN_SPLIT internal
group-policy RVPN_SPLIT attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL_RVPN_SPLIT
tunnel-group RVPN_SPLIT_TUNNEL general-attributes
default-group-policy RVPN_SPLIT
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: Anyconnect i http
Właśnie w ten sposób próbuję i coś nie działa, szukam jakiegoś bug czy coś, ale bez sukcesu...
Ogólnie chodzi o to, że część bibliotek udostępnia zbiory gdy wychodzisz na świat konkretnym IP i tutaj aby pracownikom umożliwić dostęp do takich zasobów potrzebuję to zrobić w ten sposób.
a opcja vpn-filter?
też zawsze to robiłem na L3, i było ok;) a na L4 pierwszy raz.
Ogólnie chodzi o to, że część bibliotek udostępnia zbiory gdy wychodzisz na świat konkretnym IP i tutaj aby pracownikom umożliwić dostęp do takich zasobów potrzebuję to zrobić w ten sposób.
a opcja vpn-filter?
też zawsze to robiłem na L3, i było ok;) a na L4 pierwszy raz.
Re: Anyconnect i http
vpn-filter używam tylko dla L2L do blokady dostępu kiedy crypto_acl jest na L3 (jedyne sensowne i skalowalne rozwiązanie), dla RVPN jak powyżej z tym ze standard ACL. Tak jak pisałem wcześniej testowałem to kiedyś (jeszcze na pre-8.3) i były problemy z DNSem bo się rozjeżdżał. może opcja tunnelall a vpn-filter do blokady czego RVPN userzy nie powinni mieć przez RVPN (zasoby enterprise?) ? ewentualnie split-tunnel i kazać userom robic RDP na jakiś terminal? a reszta lokalnie?piter1789 pisze:Właśnie w ten sposób próbuję i coś nie działa, szukam jakiegoś bug czy coś, ale bez sukcesu...
Ogólnie chodzi o to, że część bibliotek udostępnia zbiory gdy wychodzisz na świat konkretnym IP i tutaj aby pracownikom umożliwić dostęp do takich zasobów potrzebuję to zrobić w ten sposób.
a opcja vpn-filter?
też zawsze to robiłem na L3, i było ok;) a na L4 pierwszy raz.
p.s. trochę mało danych ale problem ciekawy a może poza RFC1918 dorzucić tylko te konkretne IP gdzie user ma się dostać z korpo-IP (zakładając że skalowalne)? lub RVPN crypto ACL po FQDN (nigdy nie testowałem) i zostawić DNSy po stronie usera? osobiście bym jednak szedł w tunnelall + blokady
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: Anyconnect i http
a co byś potrzebował jeszcze?, w sensie danych;)
powiem tak, że coś z tą L4 nie działa :/ dns mi działają po VPN, a ruch http/https idzie lokalnym łączem, no chyba, że anyconnect ma coś nie tak:p
No jeśli się nie da to tunelall + deny na całą sieć wewnętrzną;) - tak jak pisałeś;))
zawsze pozostaje clientless;)
chyba, że ktoś ma jakiś pomysł jeszcze?;)
powiem tak, że coś z tą L4 nie działa :/ dns mi działają po VPN, a ruch http/https idzie lokalnym łączem, no chyba, że anyconnect ma coś nie tak:p
No jeśli się nie da to tunelall + deny na całą sieć wewnętrzną;) - tak jak pisałeś;))
zawsze pozostaje clientless;)
chyba, że ktoś ma jakiś pomysł jeszcze?;)
Re: Anyconnect i http
do clientless potrzebujesz licencji Apex (zakładam AnyConnect4.x), ale pewnie o tym wiesz.piter1789 pisze:a co byś potrzebował jeszcze?, w sensie danych;)
powiem tak, że coś z tą L4 nie działa :/ dns mi działają po VPN, a ruch http/https idzie lokalnym łączem, no chyba, że anyconnect ma coś nie tak:p
No jeśli się nie da to tunelall + deny na całą sieć wewnętrzną;) - tak jak pisałeś;))
zawsze pozostaje clientless;)
chyba, że ktoś ma jakiś pomysł jeszcze?;)
chyba się zasugerowałem i zapędziłem... nie pamiętam na 100% (99.999% ) ale dla RVPN działają tylko standard ACL...
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: Anyconnect i http
tak;) mam licencję Apex;)
no jak standard ACL to po L4:p hehe i pozostaje to co wcześniej sugerowałeś;)
ale z tego co widzę to:
http://www.cisco.com/c/en/us/td/docs/se ... -acls.html
VPN access and filtering
Extended
Standard
Group policies for remote access and site to site VPNs use standard or extended ACLs for filtering. Remote access VPNs also use extended ACLs for client firewall configurations and dynamic access policies.
no jak standard ACL to po L4:p hehe i pozostaje to co wcześniej sugerowałeś;)
ale z tego co widzę to:
http://www.cisco.com/c/en/us/td/docs/se ... -acls.html
VPN access and filtering
Extended
Standard
Group policies for remote access and site to site VPNs use standard or extended ACLs for filtering. Remote access VPNs also use extended ACLs for client firewall configurations and dynamic access policies.
-
- newbie
- Posty: 1
- Rejestracja: 02 sty 2017, 12:38
Anyconnect i http
Just use rewrite rule to 301 redirect from http to https if you want to enforce that. This can also be done in php.