Jump to content

ACLs greifen für VPN-Verbindung nicht?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

habe derzeit einige feste VPN-Tunnel auf einem Cisco 871 konfiguriert.

Für gewöhnlich sind das L2L-Verbindungen, bei einem soll jetzt aber der Zugriff auf einzelne Hosts eingeschränkt werden.

Habe dementsprechend eine ACL angelegt bzw angepasst und die auf das externe Interface (Fast Eth4) gebunden. Sie scheint aber nicht zu greifen, denn ich habe auch weiterhin noch durch den Tunnel Zugriff auf andere Hosts...

Wahrscheinlich mache ich hier einen Denkfehler und muss als ACL dieselbe verwenden, die ich als IPSec-ACL (also welcher Traffic verschlüsselt werden soll) verwende? Greift die ACL auf Fast Eth4 evtl. nur für Verbindungen, die mit öffentl. IP reinkommen?

Link zu diesem Kommentar

Das hatte ich ja auch erst gedacht...

 

ACL 100 erstellt in der Form:

permit ip 192.168.0.0 0.0.0.255 host 192.168.100.120
...
deny ip any any

 

und anschließend in Int VLAN1

access-group 100 in

 

Das hat aber leider nicht zum Erfolg geführt. Oder muss ich dann

access-group 100 out

konfigurieren?

 

Sinngemäß kommt der Traffic doch über Fast Eth 4 über den Tunnel rein und geht dann IN in VLAN1, und nicht OUT? :confused:

Link zu diesem Kommentar

Hm also in der Art:

 

interface Vlan1
description LAN_intern
ip address 172.16.0.1 255.255.0.0
ip access-group 100 [u][b]out[/b][/u]
...


access-list 100 remark ### Zugriff ins LAN ###
...
access-list 100 permit ip 192.168.0.0 0.0.0.255 host 172.16.x.y
...
access-list 100 deny   ip any any

 

Also sage ich im Interface nicht, ob es IN- oder OUT-going Traffic ist, sondern ob er von IN oder OUTside kommt... Das erklärt das natürlich... Werde das heute abend mal ändern! Dank Dir!

Link zu diesem Kommentar

Die anderen Netze habe ich bei dem Beispiel ausgeblendet...

Muss ich denn für Inet-Traffic extra Zugriff erlauben, selbst wenn er vom LAN initiert wurde?

Ich betreibe ja keinen Webservices hier, die von extern erreichbar sein müssen... Nur das übliche halt - Surfen und pop3/imap/smtp abrufen bzw. senden...

 

Gibt's ansonsten eine gute Beispielkonfig dazu?

Ich wollte eigentlich nicht einzelne deny's und am Ende ein Permit all konfigurieren...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...