ISE + AnyConnect + zdalna pomoc

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

ISE + AnyConnect + zdalna pomoc

#1

#1 Post autor: Bolo »

Dzień dobry,

Taki oto problem:
ASA z AnyConnectem user otrzymuje dACL z ISE Server:

remark dns access
permit udp any host 10.10.10.15
permit icmp any any

i działa.

Teraz w sieci mam serwer, który jest wykorzystywany jak jump-host dla pomocy zdalej userom na RA przez nasz helpdesk.
User na RA przez AnyConnecta dostaje IP:
192.168.20.19

Jump-host ma ip: 10.10.20.18

i teraz: jesli puszczam ping z jumpa to RA user 192.168.20.19 odpowiada (permit icmp any any)

Jesli jednak chcę odpalic RDP lub wejsc po tcp/445 to juz mam refused connection by host.

Pomyśłalem, że zrobie na ISE coś takiego:
remark dns access
permit udp any host 10.10.10.15
permit icmp any any
permit ip host 10.10.20.18 192.168.0.0 255.255.0.0

to otrzymuję od ISE komunikat:
Line 4 - In "permit ip host 10.10.20.18 192.168.0.0 255.255.0.0", found the following warning(s):
1. While creating DACL, the keyword 'Any' must be the source in all ACE in DACL.
Once the DACL is pushed, the 'Any' in the source is replaced with the IP address of the client that is connecting to the switch

Czy ktoś z szanownych koleżanek i kolegów może podpowiedzieć jak rozwiązać te problem?

oczywiście jeśli dam permit ip any any to działa, ale to nie o to tu w tym chodzi .
A może nie ma takiej możliwości ?
Z góry dziękuje za wskazówki

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ISE + AnyConnect + zdalna pomoc

#2

#2 Post autor: drake »

Czesc,
no to dodaj wpis "permit ip any host 10.10.20.18" - ISE powinien po poprawnym uwierzytelnieniu zastapic w tym ACE wpis "any" danym IP klienta VPN (np. 192.168.20.19), co spelni twoje wymagania, bo ISE automatycznie doprecyzuje ACL.

Stay strong, health & secure! :)
Never stop exploring :)

https://iverion.de

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Re: ISE + AnyConnect + zdalna pomoc

#3

#3 Post autor: Bolo »

@drake to chyba nie do końca o to mi chodzi.
Ale oczywiśćie i tę metodykę stosowałem.

CHcę z jumpa 10.10.20.18 dostac się do sieci 192.168.20.0/24 gdzie znajdują się userzy na anyconnectcie
sprawdzę to ze słówkiem host - bo tylko siec jako dest podawałem - być moze to jest to.

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Re: ISE + AnyConnect + zdalna pomoc

#4

#4 Post autor: Bolo »

@drake nigdy bym się nie spodizewał :)

permit ip any host 10.10.20.18 dziala i to jest ok,
Próbowałem zawęzić do tcp i okreslonych portów ale to juz nie poszło. Nie mniej jednak dziekuję .

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ISE + AnyConnect + zdalna pomoc

#5

#5 Post autor: drake »

Hej,
fajnie, ze dziala jak nalezy.

Pozdruffka!
Never stop exploring :)

https://iverion.de

ODPOWIEDZ