Anyconnect i http

Wiadomość

piter1789 · #1

Witam,

muszę poradzić się bardziej doświadczonych kolegów.

W jaki sposób najlepiej na Cisco ASA w połączeniu z SSL VPN zrobić tak, aby tylko ruch http lub https wpadał w tunel a reszta nie?
Czy "vpn-filter" załatwi sprawę? Czy da się to lepiej zrobić?

frontier · #2

Tzn chcesz aby polaczenie do tego samego IPka po porcie 80,443 bylo tunelowane a innym razem nie (cos spoza 80,443)? Czy chcesz tylko zablokowac mozliwosc polaczenia sie z pozostalymi portami.

piter1789 · #3

frontier pisze:Tzn chcesz aby polaczenie do tego samego IPka po porcie 80,443 bylo tunelowane a innym razem nie (cos spoza 80,443)? Czy chcesz tylko zablokowac mozliwosc polaczenia sie z pozostalymi portami.

tak;)

dostęp przez VPN ma być łączność dla portów 80 i 443 a reszta ma wychodzić lokalnym łączem użytkownika.
I może ważne info;) i nie chodzi tylko o serwery lokalne(poty (80 i 443), ale ruch do świata dla portów 80 i 443 też ma trafiać w tunel

mihu · #4

piter1789 pisze:
tak;)

dostęp przez VPN ma być łączność dla portów 80 i 443 a reszta ma wychodzić lokalnym łączem użytkownika.
I może ważne info;) i nie chodzi tylko o serwery lokalne(poty (80 i 443), ale ruch do świata dla portów 80 i 443 też ma trafiać w tunel

z zasady robię to na Layer3 a nie L4 ale powinno to wyglądać tak:

Kod: Zaznacz cały

access-list ACL_RVPN_SPLIT ext permit tcp any  any eq http
access-list ACL_RVPN_SPLIT ext permit tcp any  any eq https


group-policy RVPN_SPLIT internal
group-policy RVPN_SPLIT attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value ACL_RVPN_SPLIT


tunnel-group RVPN_SPLIT_TUNNEL general-attributes
 default-group-policy RVPN_SPLIT

rozumiem że miałoby to sens dla firmowych serwerow bo jeśli chcesz split tunnel dla http(s) możesz mieć trochę rzeźbienia z DNSami bo mogą być problemy - raczej musisz dorzucić DNSy do VPN + standardowo nat (out,out) dla IP pool dla RVPN jesli ASA >=8.3

piter1789 · #5

Właśnie w ten sposób próbuję i coś nie działa, szukam jakiegoś bug czy coś, ale bez sukcesu...

Ogólnie chodzi o to, że część bibliotek udostępnia zbiory gdy wychodzisz na świat konkretnym IP i tutaj aby pracownikom umożliwić dostęp do takich zasobów potrzebuję to zrobić w ten sposób.

a opcja vpn-filter?

też zawsze to robiłem na L3, i było ok;) a na L4 pierwszy raz.

mihu · #6

piter1789 pisze:Właśnie w ten sposób próbuję i coś nie działa, szukam jakiegoś bug czy coś, ale bez sukcesu...

Ogólnie chodzi o to, że część bibliotek udostępnia zbiory gdy wychodzisz na świat konkretnym IP i tutaj aby pracownikom umożliwić dostęp do takich zasobów potrzebuję to zrobić w ten sposób.

a opcja vpn-filter?

też zawsze to robiłem na L3, i było ok;) a na L4 pierwszy raz.

vpn-filter używam tylko dla L2L do blokady dostępu kiedy crypto_acl jest na L3 (jedyne sensowne i skalowalne rozwiązanie), dla RVPN jak powyżej z tym ze standard ACL. Tak jak pisałem wcześniej testowałem to kiedyś (jeszcze na pre-8.3) i były problemy z DNSem bo się rozjeżdżał. może opcja tunnelall a vpn-filter do blokady czego RVPN userzy nie powinni mieć przez RVPN (zasoby enterprise?) ? ewentualnie split-tunnel i kazać userom robic RDP na jakiś terminal? a reszta lokalnie?

p.s. trochę mało danych ale problem ciekawy

a może poza RFC1918 dorzucić tylko te konkretne IP gdzie user ma się dostać z korpo-IP (zakładając że skalowalne)? lub RVPN crypto ACL po FQDN (nigdy nie testowałem) i zostawić DNSy po stronie usera? osobiście bym jednak szedł w tunnelall + blokady

piter1789 · #7

a co byś potrzebował jeszcze?, w sensie danych;)

powiem tak, że coś z tą L4 nie działa :/ dns mi działają po VPN, a ruch http/https idzie lokalnym łączem, no chyba, że anyconnect ma coś nie tak:p

No jeśli się nie da to tunelall + deny na całą sieć wewnętrzną;) - tak jak pisałeś;))

zawsze pozostaje clientless;)

chyba, że ktoś ma jakiś pomysł jeszcze?;)

mihu · #8

piter1789 pisze:a co byś potrzebował jeszcze?, w sensie danych;)

powiem tak, że coś z tą L4 nie działa :/ dns mi działają po VPN, a ruch http/https idzie lokalnym łączem, no chyba, że anyconnect ma coś nie tak:p

No jeśli się nie da to tunelall + deny na całą sieć wewnętrzną;) - tak jak pisałeś;))

zawsze pozostaje clientless;)

chyba, że ktoś ma jakiś pomysł jeszcze?;)

do clientless potrzebujesz licencji Apex (zakładam AnyConnect4.x), ale pewnie o tym wiesz.

chyba się zasugerowałem i zapędziłem... nie pamiętam na 100% (99.999%

) ale dla RVPN działają tylko standard ACL...

piter1789 · #9

tak;) mam licencję Apex;)

no jak standard ACL to po L4:p hehe i pozostaje to co wcześniej sugerowałeś;)

ale z tego co widzę to:

http://www.cisco.com/c/en/us/td/docs/se ... -acls.html

VPN access and filtering
Extended
Standard
Group policies for remote access and site to site VPNs use standard or extended ACLs for filtering. Remote access VPNs also use extended ACLs for client firewall configurations and dynamic access policies.

RandalllFusia · #10

Just use rewrite rule to 301 redirect from http to https if you want to enforce that. This can also be done in php.

CCIE.pl