kroliczko 10 Geschrieben 6. Juni 2007 Melden Geschrieben 6. Juni 2007 Hallo Alleseits, Ich möchte eine Site to Site VPN zwischen 2 PIXen (506E) einrichten und möchte gerne wissen, wie ich den Traffic zwischen den beiden LANs genau steuern kann? Alles ist soweit eingerichtet und der tunnel wird aufgebaut, der traffic passiert auch ohne problem aber ich möchte den Zugriff zwischen den beiden LANs einschränken und zwar nur 2http" erlaube! PIX1: access−list 120 permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 sysopt connection permit−ipsec crypto ipsec transform−set myset esp−des esp−md5−hmac crypto map newmap 20 ipsec−isakmp crypto map newmap 20 match address 120 crypto map newmap 20 set peer X.X.X.X crypto map newmap 20 set transform−set myset isakmp enable outside isakmp key ******** address X.X.X.X netmask 255.255.255.255 no−xauth no−config−mode PIX2: access−list 110 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 sysopt connection permit−ipsec crypto ipsec transform−set myset esp−des esp−md5−hmac crypto map newmap 10 ipsec−isakmp crypto map newmap 10 match address 110 crypto map newmap 10 set peer Y.Y.Y.Y crypto map newmap 10 set transform−set myset crypto map newmap interface outside isakmp enable outside isakmp key ******** address Y.Y.Y.Y netmask 255.255.255.255 no−xauth no−config−mode Folgendes ist gewünscht: Die clients aus dem LAN(10.2.2.0/24) dürfen die clients(10.1.1.0/24) nur über "http" ansprechen wie kann man das am besten konfigurieren bzw. wie kann man generell den Traffic, der durch den VPN-tunnel fließt, kontrolieren? Danke & Schöne Grüße
grizzly999 11 Geschrieben 6. Juni 2007 Melden Geschrieben 6. Juni 2007 Hallo und willkommen im Board :) Da der Beitrag nichts mit MCSE-Prüfungen zu tun hat, habe ich den ins richtige Forum verschoben. Bitte künftig die Wahl des richtigen Forums beachten ;) grizzly999
#9370 10 Geschrieben 6. Juni 2007 Melden Geschrieben 6. Juni 2007 einfach das "sysopt connection permit-ipsec" rausgeben und den Verkehr per ACL am Interface steuern. In der 6.x musst du dann möglicherweise ESP und ISAKMP in die ACL mitaufnehmen. Da bin ich mir aber nicht ganz sicher. /#9370
kroliczko 10 Geschrieben 12. Juni 2007 Autor Melden Geschrieben 12. Juni 2007 Vielen Dank für die Antwort... Es funkioniert ;-) Ciao
hegl 10 Geschrieben 12. Juni 2007 Melden Geschrieben 12. Juni 2007 einfach das "sysopt connection permit-ipsec" rausgeben und den Verkehr per ACL am Interface steuern./#9370 Was meinst du mit rausgeben? Rausnehmen oder einfügen? Habe mir nie Gedanken über den Befehl gemacht, was macht der genau?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden