ASA IPsec stateful acl
ASA IPsec stateful acl
Witam,
Mam zestawiony tunel ipsec pomiędzy naszą asą 5510 a urządzeniem klienta. Z naszej strony są podsieci ABC a drugiej podsieć D. W tym momencie jest możliwa komunikacja dwukierunkowa. Chciałbym aby komunikacja mogła być nawiązywana tylko z podsieci ABC do D a odwrotnie nie. Mogę stworzyć jakąś ACL stateful i podpiąć ją do tutnelu? Moglibyście mi przybliżyć temat?
Z góry dzięki za pomoc.
Mam zestawiony tunel ipsec pomiędzy naszą asą 5510 a urządzeniem klienta. Z naszej strony są podsieci ABC a drugiej podsieć D. W tym momencie jest możliwa komunikacja dwukierunkowa. Chciałbym aby komunikacja mogła być nawiązywana tylko z podsieci ABC do D a odwrotnie nie. Mogę stworzyć jakąś ACL stateful i podpiąć ją do tutnelu? Moglibyście mi przybliżyć temat?
Z góry dzięki za pomoc.
Re: ASA IPsec stateful acl
Zmien sobie crypto-map z bidirectional na originate-only linklukis pisze:Witam,
Mam zestawiony tunel ipsec pomiędzy naszą asą 5510 a urządzeniem klienta. Z naszej strony są podsieci ABC a drugiej podsieć D. W tym momencie jest możliwa komunikacja dwukierunkowa. Chciałbym aby komunikacja mogła być nawiązywana tylko z podsieci ABC do D a odwrotnie nie. Mogę stworzyć jakąś ACL stateful i podpiąć ją do tutnelu? Moglibyście mi przybliżyć temat?
Z góry dzięki za pomoc.
Pozdro,
Re: ASA IPsec stateful acl
Wprowadzasz w błąd, to co podajesz ustala tylko kto może zainicjalizować tunel, po zestawieniu tunelu ruchu w środku będzie biegał bez ograniczeń.
Opcje są dwie:
- no sysopt connection permit-vpn i aclka na interfece do którego zestawiany jest tunel definiująca dozwolony ruch ale ta zmiana dotyczy wszystkich połączeń IPSec
- vpn-filter na group-policy dedykowanej dla tego tunelu
Re: ASA IPsec stateful acl
Przez przypadek connection-type nie służy jedynie do określenia kierunku w którym może zostać utworzone SA ?martino76 pisze:Zmien sobie crypto-map z bidirectional na originate-only linklukis pisze:Witam,
Mam zestawiony tunel ipsec pomiędzy naszą asą 5510 a urządzeniem klienta. Z naszej strony są podsieci ABC a drugiej podsieć D. W tym momencie jest możliwa komunikacja dwukierunkowa. Chciałbym aby komunikacja mogła być nawiązywana tylko z podsieci ABC do D a odwrotnie nie. Mogę stworzyć jakąś ACL stateful i podpiąć ją do tutnelu? Moglibyście mi przybliżyć temat?
Z góry dzięki za pomoc.
Pozdro,
Wydaje mi się, że koledze chodzi raczej o filtrowanie ruchu wewnątrz SA czyli vpn-filter
https://popravak.wordpress.com/2011/11/ ... -i-see-it/
Konfiguracja wygląda nastepująco:
192.168.17.0/24 to sieć zdalna, 192.168.10.0/24 to nasza sieć lokalna.
Nie wiem czy to ma jakieś znaczenie ale ASA niema interfejsu z sieci 192.168.10.0
192.168.17.0/24 to sieć zdalna, 192.168.10.0/24 to nasza sieć lokalna.
Nie wiem czy to ma jakieś znaczenie ale ASA niema interfejsu z sieci 192.168.10.0
Wg tego co wyczytałem w tym mencie powinien być dostęp z 192.168.10.15 do 192.168.17.1 po 22 porcie.access-list bielsko_test_vpnfilter extended permit object-group TCPUDP host 192.168.17.1 host 192.168.10.15 eq 22
group-policy bielsko_test internal
group-policy bielsko_test attributes
vpn-filter value bielsko_test_vpnfilter
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x general-attributes
default-group-policy bielsko_test
Niestety przy próbie połączenia po ssh dostaję komunikat "ssh: connect to host 192.168.17.1 port 22: Connection refused"access-list VPN-FILTER permit <remote-IP> [remote-Port] <local-IP> [local-Port]
Try this
Kod: Zaznacz cały
access-list bielsko_test_vpnfilter extended permit tcp host 192.168.17.1 eq host 192.168.10.15
Bedi pisze:Try thisKod: Zaznacz cały
access-list bielsko_test_vpnfilter extended permit tcp host 192.168.17.1 eq host 192.168.10.15
Kod: Zaznacz cały
access-list bielsko_test_vpnfilter extended permit tcp host 192.168.17.1 eq 22 host 192.168.10.15
Dzięki Panowie z 22 portem poradziłem sobie
Teraz pytanie o rzeczywisty przypadek.
Po mojej stronie mam 3 obiekty:
10.10.10.0/24
192.168.40.0/22
10.137.208.68
Po stronie klienta:
10.5.1.0/24
Chcę umożliwić całą komunikację od nas do klienta a od klienta do nas tylko ping do 3 hostów.
ACLki takie:
Dzięki!
Teraz pytanie o rzeczywisty przypadek.
Po mojej stronie mam 3 obiekty:
10.10.10.0/24
192.168.40.0/22
10.137.208.68
Po stronie klienta:
10.5.1.0/24
Chcę umożliwić całą komunikację od nas do klienta a od klienta do nas tylko ping do 3 hostów.
ACLki takie:
W przypadku 2 pierwszych list acl umożliwia komunikację w 2 strony ale to w mojej sytuacji bez znaczenia. Moglibyście zweryfikować czy osiągnę zamierzany efekt? Ponieważ nie mam jak tego zweryfikować.access-list vpnfilter extended permit icmp 10.5.1.0 255.255.255.0 host 192.168.40.44
access-list vpnfilter extended permit icmp 10.5.1.0 255.255.255.0 host 192.168.40.45
access-list vpnfilter extended permit icmp 10.5.1.0 255.255.255.0 host 192.168.40.48
access-list vpnfilter extended permit ip 10.10.10.0 255.255.255.0 10.5.1.0 255.255.255.0
access-list vpnfilter extended permit ip 192.168.40.0 255.255.252.0 10.5.1.0 255.255.255.0
access-list vpnfilter extended permit ip host 10.137.208.68 10.5.1.0 255.255.255.0
Dzięki!