Cześć,
Tak się zastanawiam czy to w ogóle możliwe.
ASA 5520 i EzVPN. Klient dostaje adresacje 192.168.1.1 , adresacja po stronie LAN 10.0.0.0.Cały ruch od klienta wpada do tunelu , wyjście do internetu jest przez MS ISA. I teraz potrzebuje wykluczyć jeden adres publiczny ,załóżmy wp.pl , żeby client VPN wychodził do niego z lokalnego internetu ,a nie przez MS ISA, a każdy inny ruch wpadał do tunelu. W sumie taki odwrócony split tunel. Mozę ktoś ma podobne rozwiązanie ?
ASA Split tunel do jednego adresu
ASA Split tunel do jednego adresu
Ostatnio zmieniony 18 kwie 2009, 01:52 przez gryglas, łącznie zmieniany 1 raz.
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
hostname(config-group-policy)# split-tunnel-policy {tunnelall | tunnelspecified |
excludespecified}
http://www.cisco.com/en/US/docs/securit ... #wp1053494
excludespecified}
http://www.cisco.com/en/US/docs/securit ... #wp1053494
Ostatnio zmieniony 17 kwie 2009, 21:09 przez Bedi, łącznie zmieniany 1 raz.
A probowałeś:
access-list ACL_LOCAL standard permit host _jakis_host
split-tunnel-policy excludespecified
split-tunnel-network-list value ACL_LOCAL
http://www.cisco.com/en/US/products/ps6 ... 2992.shtml
access-list ACL_LOCAL standard permit host _jakis_host
split-tunnel-policy excludespecified
split-tunnel-network-list value ACL_LOCAL
http://www.cisco.com/en/US/products/ps6 ... 2992.shtml
Mozesz rozwinac mysl .....Bedi pisze:hostname(config-group-policy)# split-tunnel-policy {tunnelall | tunnelspecified |
excludespecified}
http://www.cisco.com/en/US/docs/securit ... #wp1053494
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
Tak , ale to nie jest to o co mi chodzi.gonte pisze:A probowałeś:
access-list ACL_LOCAL standard permit host _jakis_host
split-tunnel-policy excludespecified
split-tunnel-network-list value ACL_LOCAL
http://www.cisco.com/en/US/products/ps6 ... 2992.shtml
Rysunek :
...............................|---------Local INTERNET----www.wp.pl
Cisco VPN Client---|
...............................|-----------ALL TRAFFIC VPN-------ASA5520-----------MS ISA-----INTERNET
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
To o co Ci chodzilo?
Przyznam, ze ja to zrozumialem dokladnie tak jak gonte, czyli przykladowe wp.pl ma isc bezposrednio, a cala reszta przez tunel do ISA. Definicja excludespecified wlasnie cos takiego robi w powiazaniu z ACL. Problem, ze jak maja wiele serwerow, etc, to ACL moze sie rozbudowac.
Jeslie chodzi o cos innego, to chyba musisz to precyzyjniej opisac.
Przyznam, ze ja to zrozumialem dokladnie tak jak gonte, czyli przykladowe wp.pl ma isc bezposrednio, a cala reszta przez tunel do ISA. Definicja excludespecified wlasnie cos takiego robi w powiazaniu z ACL. Problem, ze jak maja wiele serwerow, etc, to ACL moze sie rozbudowac.
Jeslie chodzi o cos innego, to chyba musisz to precyzyjniej opisac.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Ech , można zwalić na zmęczenie ?Seba pisze:To o co Ci chodzilo?
Przyznam, ze ja to zrozumialem dokladnie tak jak gonte, czyli przykladowe wp.pl ma isc bezposrednio, a cala reszta przez tunel do ISA. Definicja excludespecified wlasnie cos takiego robi w powiazaniu z ACL. Problem, ze jak maja wiele serwerow, etc, to ACL moze sie rozbudowac.
Jeslie chodzi o cos innego, to chyba musisz to precyzyjniej opisac.
Oczywiście ,że działa. Trzeba to zrobić tak :
Próbowałem jeszcze z rozszerzoną ACLką , ale nie działa.access-list TEST2 standard permit host 212.77.100.101
group-policy VPN1 attributes
split-tunnel-policy excludespecified
split-tunnel-network-list value TEST2
Dzięki za pomoc , jedna sprawa rozwiązana , biorę się za następne
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.