Estoy usando un ASA de Cisco como punto final de VPN. ¿Dónde se firewall los clientes VPN?

2

(¿Es esto también específico de la aplicación? Parece una pregunta razonable que sería útil para otras personas ...)

Entonces, tengo este ASA frente a una red que no configuré. Se ha configurado con la GUI de clicky (el ASDM), no la CLI, pero estoy dispuesto a usar la CLI si tiene más sentido. Uno de los trabajos de este ASA es permitir que los usuarios remotos accedan a una VPN y usar cosas internas. Lo hace bastante bien. Sin embargo, ahora quiero limitar a dónde van esos usuarios de VPN. ¿Dónde inserto reglas de firewall para ellos? Hay dos redes en la cosa, creativamente etiquetadas como "afuera" y "adentro".

Si estuviera estableciendo una regla de firewall para decir "X la entidad externa puede acceder a este elemento interno", lo pondría en la interfaz "externa". ¿Lo mismo para clientes VPN?

    
pregunta Bill Weiss 10.01.2011 - 16:01
fuente

1 respuesta

6

A continuación le indicamos cómo hacerlo: tunnel_vpn_userX controla las subredes a túnel, filter_vpn_userX aplica el filtro de lista de acceso normal dentro de ese túnel.

object-group network tunnel_vpn_userX_local
 network-object <some local network>
 ...

access-list tunnel_vpn_userX extended permit ip object-group tunnel_vpn_userX_local any
access-list filter_vpn_userX extended permit tcp any <some local address> eq www

username userX password ...
username userX attributes
 vpn-group-policy userX
 vpn-tunnel-protocol IPSec
 service-type remote-access

group-policy userX internal
group-policy userX attributes
 vpn-filter value filter_vpn_userX
 vpn-tunnel-protocol IPSec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value tunnel_vpn_userX

Espero no haberme perdido nada ...

    
respondido por el oskie 10.01.2011 - 21:34
fuente

Lea otras preguntas en las etiquetas