Dzień dobry,
Taki oto problem:
ASA z AnyConnectem user otrzymuje dACL z ISE Server:
remark dns access
permit udp any host 10.10.10.15
permit icmp any any
i działa.
Teraz w sieci mam serwer, który jest wykorzystywany jak jump-host dla pomocy zdalej userom na RA przez nasz helpdesk.
User na RA przez AnyConnecta dostaje IP:
192.168.20.19
Jump-host ma ip: 10.10.20.18
i teraz: jesli puszczam ping z jumpa to RA user 192.168.20.19 odpowiada (permit icmp any any)
Jesli jednak chcę odpalic RDP lub wejsc po tcp/445 to juz mam refused connection by host.
Pomyśłalem, że zrobie na ISE coś takiego:
remark dns access
permit udp any host 10.10.10.15
permit icmp any any
permit ip host 10.10.20.18 192.168.0.0 255.255.0.0
to otrzymuję od ISE komunikat:
Line 4 - In "permit ip host 10.10.20.18 192.168.0.0 255.255.0.0", found the following warning(s):
1. While creating DACL, the keyword 'Any' must be the source in all ACE in DACL.
Once the DACL is pushed, the 'Any' in the source is replaced with the IP address of the client that is connecting to the switch
Czy ktoś z szanownych koleżanek i kolegów może podpowiedzieć jak rozwiązać te problem?
oczywiście jeśli dam permit ip any any to działa, ale to nie o to tu w tym chodzi .
A może nie ma takiej możliwości ?
Z góry dziękuje za wskazówki
ISE + AnyConnect + zdalna pomoc
Re: ISE + AnyConnect + zdalna pomoc
Czesc,
no to dodaj wpis "permit ip any host 10.10.20.18" - ISE powinien po poprawnym uwierzytelnieniu zastapic w tym ACE wpis "any" danym IP klienta VPN (np. 192.168.20.19), co spelni twoje wymagania, bo ISE automatycznie doprecyzuje ACL.
Stay strong, health & secure!
no to dodaj wpis "permit ip any host 10.10.20.18" - ISE powinien po poprawnym uwierzytelnieniu zastapic w tym ACE wpis "any" danym IP klienta VPN (np. 192.168.20.19), co spelni twoje wymagania, bo ISE automatycznie doprecyzuje ACL.
Stay strong, health & secure!
Re: ISE + AnyConnect + zdalna pomoc
@drake to chyba nie do końca o to mi chodzi.
Ale oczywiśćie i tę metodykę stosowałem.
CHcę z jumpa 10.10.20.18 dostac się do sieci 192.168.20.0/24 gdzie znajdują się userzy na anyconnectcie
sprawdzę to ze słówkiem host - bo tylko siec jako dest podawałem - być moze to jest to.
Ale oczywiśćie i tę metodykę stosowałem.
CHcę z jumpa 10.10.20.18 dostac się do sieci 192.168.20.0/24 gdzie znajdują się userzy na anyconnectcie
sprawdzę to ze słówkiem host - bo tylko siec jako dest podawałem - być moze to jest to.
Re: ISE + AnyConnect + zdalna pomoc
@drake nigdy bym się nie spodizewał
permit ip any host 10.10.20.18 dziala i to jest ok,
Próbowałem zawęzić do tcp i okreslonych portów ale to juz nie poszło. Nie mniej jednak dziekuję .
permit ip any host 10.10.20.18 dziala i to jest ok,
Próbowałem zawęzić do tcp i okreslonych portów ale to juz nie poszło. Nie mniej jednak dziekuję .
Re: ISE + AnyConnect + zdalna pomoc
Hej,
fajnie, ze dziala jak nalezy.
Pozdruffka!
fajnie, ze dziala jak nalezy.
Pozdruffka!