VPN mit Time-Based ACLSs, Kron, Time-Range ...

[bnice]

Hi,

wie funktionieren zeitgesteuerte ACLs eigentlich bei Cisco?
Gibt es da noch Einschränkungen?
Da ich ja leider über kron-jobs leider nicht einfach ein Interface auf shutdown setzen kann, versuche ich jetzt über time-range in den ACLs einen VPN-Zugang nur zeitgesteuert zuzulassen. Allerdings funzt das bisher nur für die "interne" ACL, d.h., den Traffic über das VPN kann ich darüber steuern. Ich würde aber gerne grundsätzlich schon den Tunnelaufbau zu bestimmten Zeiten verhindern (bzw. ein deny ip any aktivieren).
Jetzt baut er den Tunnel aber trotzdem auf, selbst wenn ich über Timerange "permit esp ..." nicht aktiv habe, und somit nur deny any greifen sollte, baut er den Tunnel trotzdem noch auf. Vor allem trennt er den Tunnel ja auch erst wieder wenn seine SA ungültig wird... Gibt's vielleicht noch einen eleganteren Weg, um jeglichen externen Traffic zeitgesteuert zu blocken und Tunnel abzubauen???

[rob_67]

Hi,

ja, zeitgesteuerte Dialer lists... Bei nem isdn router habe ich damit 5 verschiedene einwahlnummern bedient, beim dsl-er geht das genauso...(interesting traffic)


gruss

rob

[bnice]

Zitat von rob_67 Hi, ja, zeitgesteuerte Dialer lists... Bei nem isdn router habe ich damit 5 verschiedene einwahlnummern bedient, beim dsl-er geht das genauso...(interesting traffic) gruss rob

Stimmt... interesting traffic wurde bei ISDN ja immer gerne genommen... Hätt ich auch selber draufkommen können
Dann werd ich mich gleich mal ranmachen... :-)

[rob_67]

Hi,


nur bei VPNs beachten, wenn die internetverbindung wegfliegt, steht die SA noch (wenn du es nicht herunterstellst auf 2 Minuten - unter Umstanden auch eine Stunde). D.h. du kannst dann so lange keinen neuen Tunnel aufbauen...

Gruß


Rob

[bnice]

Das mit der SA ist kein Thema - die cleare ich jetzt auch schon über nen Kron-Job bei Zwangstrennung...