Jump to content
Sign in to follow this  
kroliczko

Site-2-Site VPN tunnel traffic!

Recommended Posts

Hallo Alleseits,

Ich möchte eine Site to Site VPN zwischen 2 PIXen (506E) einrichten und möchte gerne wissen, wie ich den Traffic zwischen den beiden LANs genau steuern kann?

Alles ist soweit eingerichtet und der tunnel wird aufgebaut, der traffic passiert auch ohne problem aber ich möchte den Zugriff zwischen den beiden LANs einschränken und zwar nur 2http" erlaube!

 

PIX1:

 

access−list 120 permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0

 

sysopt connection permit−ipsec

crypto ipsec transform−set myset esp−des esp−md5−hmac

crypto map newmap 20 ipsec−isakmp

crypto map newmap 20 match address 120

crypto map newmap 20 set peer X.X.X.X

crypto map newmap 20 set transform−set myset

isakmp enable outside

isakmp key ******** address X.X.X.X netmask 255.255.255.255 no−xauth no−config−mode

 

 

PIX2:

 

access−list 110 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0

 

sysopt connection permit−ipsec

crypto ipsec transform−set myset esp−des esp−md5−hmac

crypto map newmap 10 ipsec−isakmp

crypto map newmap 10 match address 110

crypto map newmap 10 set peer Y.Y.Y.Y

crypto map newmap 10 set transform−set myset

crypto map newmap interface outside

isakmp enable outside

isakmp key ******** address Y.Y.Y.Y netmask 255.255.255.255 no−xauth no−config−mode

 

Folgendes ist gewünscht:

Die clients aus dem LAN(10.2.2.0/24) dürfen die clients(10.1.1.0/24) nur über "http" ansprechen

 

wie kann man das am besten konfigurieren bzw. wie kann man generell den Traffic, der durch den VPN-tunnel fließt, kontrolieren?

 

 

Danke & Schöne Grüße

Share this post


Link to post
Share on other sites

Hallo und willkommen im Board :)

 

Da der Beitrag nichts mit MCSE-Prüfungen zu tun hat, habe ich den ins richtige Forum verschoben. Bitte künftig die Wahl des richtigen Forums beachten ;)

 

 

grizzly999

Share this post


Link to post
Share on other sites

einfach das "sysopt connection permit-ipsec" rausgeben und den Verkehr per ACL am Interface steuern.

In der 6.x musst du dann möglicherweise ESP und ISAKMP in die ACL mitaufnehmen. Da bin ich mir aber nicht ganz sicher.

 

/#9370

Share this post


Link to post
Share on other sites
einfach das "sysopt connection permit-ipsec" rausgeben und den Verkehr per ACL am Interface steuern.

/#9370

 

Was meinst du mit rausgeben? Rausnehmen oder einfügen?

Habe mir nie Gedanken über den Befehl gemacht, was macht der genau?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...