Jump to content
Sign in to follow this  
Whistleblower

ACLs greifen für VPN-Verbindung nicht?

Recommended Posts

Hi,

 

habe derzeit einige feste VPN-Tunnel auf einem Cisco 871 konfiguriert.

Für gewöhnlich sind das L2L-Verbindungen, bei einem soll jetzt aber der Zugriff auf einzelne Hosts eingeschränkt werden.

Habe dementsprechend eine ACL angelegt bzw angepasst und die auf das externe Interface (Fast Eth4) gebunden. Sie scheint aber nicht zu greifen, denn ich habe auch weiterhin noch durch den Tunnel Zugriff auf andere Hosts...

Wahrscheinlich mache ich hier einen Denkfehler und muss als ACL dieselbe verwenden, die ich als IPSec-ACL (also welcher Traffic verschlüsselt werden soll) verwende? Greift die ACL auf Fast Eth4 evtl. nur für Verbindungen, die mit öffentl. IP reinkommen?

Share this post


Link to post
Share on other sites

Das hatte ich ja auch erst gedacht...

 

ACL 100 erstellt in der Form:

permit ip 192.168.0.0 0.0.0.255 host 192.168.100.120
...
deny ip any any

 

und anschließend in Int VLAN1

access-group 100 in

 

Das hat aber leider nicht zum Erfolg geführt. Oder muss ich dann

access-group 100 out

konfigurieren?

 

Sinngemäß kommt der Traffic doch über Fast Eth 4 über den Tunnel rein und geht dann IN in VLAN1, und nicht OUT? :confused:

Share this post


Link to post
Share on other sites

Nein, du musst dich immer "in das Interface versetzen", sprich, wenn du ausgehende Verbindungen (also raus ins Internet) erlauben willst, dann machst du bei Vlan1 "in" (vice versa fuer eingehend).

Share this post


Link to post
Share on other sites

Hm also in der Art:

 

interface Vlan1
description LAN_intern
ip address 172.16.0.1 255.255.0.0
ip access-group 100 [u][b]out[/b][/u]
...


access-list 100 remark ### Zugriff ins LAN ###
...
access-list 100 permit ip 192.168.0.0 0.0.0.255 host 172.16.x.y
...
access-list 100 deny   ip any any

 

Also sage ich im Interface nicht, ob es IN- oder OUT-going Traffic ist, sondern ob er von IN oder OUTside kommt... Das erklärt das natürlich... Werde das heute abend mal ändern! Dank Dir!

Share this post


Link to post
Share on other sites

Mit der Regel erlaubst du den Zugriff von 192.168.0.0/24 auf 172.16.x.y ...

 

Bedenke aber auch, dass dann wirklich nichts anderes mehr funktioniert (Inet-Traffic)

Share this post


Link to post
Share on other sites

Die anderen Netze habe ich bei dem Beispiel ausgeblendet...

Muss ich denn für Inet-Traffic extra Zugriff erlauben, selbst wenn er vom LAN initiert wurde?

Ich betreibe ja keinen Webservices hier, die von extern erreichbar sein müssen... Nur das übliche halt - Surfen und pop3/imap/smtp abrufen bzw. senden...

 

Gibt's ansonsten eine gute Beispielkonfig dazu?

Ich wollte eigentlich nicht einzelne deny's und am Ende ein Permit all konfigurieren...

Share this post


Link to post
Share on other sites

Also wenns jetzt eh schon geht und du die Regel nur erweiterst passts schon. Prinzipiell verbietest du mit der Regel saemlichen eingehenden Traffic, z.B. auch Antworten von DNS-Abfragen.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...