1
Verständnissfrage zu Portbeschränkung bei Cisco Remote-VPN
Hallo,
ich hab hier ein Verständnissproblem bei einer Cisco PIX.
Und zwar geht es um die Art und Weise wie man den Netzwerkverkehr durch eine VPN-Verbindung beschränken kann.
Bei einem Net-to-Net VPN ist alles klar. Da geht nach Aufbau des Tunnels erstmal nichts und man muss dann die Ports per Access-List und group outside freischalten.
Wie sieht das aber mit dem Client-to-Net (Remote VPN) aus. Da ist erstmal ALLER Datenverkehr erlaubt und wie man ihn beschränken kann finde ich nicht in der Doku.
Nach Methode von oben mit deny Regeln funktioniert auf jedenfall nicht. Ich habe folgende Regeln hinzugefügt, aber es ist immer noch möglich sich über den Tunnel zu verbinden. Ich möchte aber den Datenverkehr durch den Tunnel auf ein paar Protokolle einschränken.
access-list in-to-out deny tcp 192.168.136.0 255.255.255.0 host SBS
access-list in-to-out deny tcp host SBS 192.168.136.0 255.255.255.0
access-group in-to-out in interface outside
Kann mir das mal bitte jemand schnell erklären.
Ein Link wäre auch nett.
Habe bei Cisco schon Stunden gesucht aber nichts gefunden. Da ist immer nur der Aufbau der VPN erklärt.
VPN-Client 3.4; Preshared Keys; PIX501
Vielen Dank
Anbei die interesanten Konfigteile:
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
name 192.168.137.1 SBS
access-list inside_outbound_nat0_acl permit ip host SBS 192.168.136.0 255.255.255.224
access-list outside_cryptomap_dyn_20 permit ip any 192.168.136.0 255.255.255.224
ip address outside dhcp setroute
ip address inside 192.168.137.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPNIP 192.168.136.1-192.168.136.30
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VPNGroup address-pool VPNIP
vpngroup VPNGroup dns-server SBS
vpngroup VPNGroup wins-server SBS
vpngroup VPNGroup idle-time 1800
vpngroup VPNGroup password
ich hab hier ein Verständnissproblem bei einer Cisco PIX.
Und zwar geht es um die Art und Weise wie man den Netzwerkverkehr durch eine VPN-Verbindung beschränken kann.
Bei einem Net-to-Net VPN ist alles klar. Da geht nach Aufbau des Tunnels erstmal nichts und man muss dann die Ports per Access-List und group outside freischalten.
Wie sieht das aber mit dem Client-to-Net (Remote VPN) aus. Da ist erstmal ALLER Datenverkehr erlaubt und wie man ihn beschränken kann finde ich nicht in der Doku.
Nach Methode von oben mit deny Regeln funktioniert auf jedenfall nicht. Ich habe folgende Regeln hinzugefügt, aber es ist immer noch möglich sich über den Tunnel zu verbinden. Ich möchte aber den Datenverkehr durch den Tunnel auf ein paar Protokolle einschränken.
access-list in-to-out deny tcp 192.168.136.0 255.255.255.0 host SBS
access-list in-to-out deny tcp host SBS 192.168.136.0 255.255.255.0
access-group in-to-out in interface outside
Kann mir das mal bitte jemand schnell erklären.
Ein Link wäre auch nett.
Habe bei Cisco schon Stunden gesucht aber nichts gefunden. Da ist immer nur der Aufbau der VPN erklärt.
VPN-Client 3.4; Preshared Keys; PIX501
Vielen Dank
Anbei die interesanten Konfigteile:
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
name 192.168.137.1 SBS
access-list inside_outbound_nat0_acl permit ip host SBS 192.168.136.0 255.255.255.224
access-list outside_cryptomap_dyn_20 permit ip any 192.168.136.0 255.255.255.224
ip address outside dhcp setroute
ip address inside 192.168.137.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPNIP 192.168.136.1-192.168.136.30
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VPNGroup address-pool VPNIP
vpngroup VPNGroup dns-server SBS
vpngroup VPNGroup wins-server SBS
vpngroup VPNGroup idle-time 1800
vpngroup VPNGroup password
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 46789
Url: https://administrator.de/contentid/46789
Printed on: April 19, 2024 at 23:04 o'clock
1 Comment
O.K. ich habs. Es liegt am:
sysopt connection permit-ipsec
Das raus und die access-lists gehen wieder.
sysopt connection permit-ipsec
Das raus und die access-lists gehen wieder.
