Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Verständnissfrage zu Portbeschränkung bei Cisco Remote-VPN

Mitglied: mHoelle

mHoelle (Level 1) - Jetzt verbinden

14.12.2006, aktualisiert 22:07 Uhr, 3681 Aufrufe, 1 Kommentar

Hallo,

ich hab hier ein Verständnissproblem bei einer Cisco PIX.

Und zwar geht es um die Art und Weise wie man den Netzwerkverkehr durch eine VPN-Verbindung beschränken kann.

Bei einem Net-to-Net VPN ist alles klar. Da geht nach Aufbau des Tunnels erstmal nichts und man muss dann die Ports per Access-List und group outside freischalten.

Wie sieht das aber mit dem Client-to-Net (Remote VPN) aus. Da ist erstmal ALLER Datenverkehr erlaubt und wie man ihn beschränken kann finde ich nicht in der Doku.
Nach Methode von oben mit deny Regeln funktioniert auf jedenfall nicht. Ich habe folgende Regeln hinzugefügt, aber es ist immer noch möglich sich über den Tunnel zu verbinden. Ich möchte aber den Datenverkehr durch den Tunnel auf ein paar Protokolle einschränken.

access-list in-to-out deny tcp 192.168.136.0 255.255.255.0 host SBS
access-list in-to-out deny tcp host SBS 192.168.136.0 255.255.255.0
access-group in-to-out in interface outside


Kann mir das mal bitte jemand schnell erklären.
Ein Link wäre auch nett.
Habe bei Cisco schon Stunden gesucht aber nichts gefunden. Da ist immer nur der Aufbau der VPN erklärt.

VPN-Client 3.4; Preshared Keys; PIX501


Vielen Dank

Anbei die interesanten Konfigteile:


interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100

name 192.168.137.1 SBS

access-list inside_outbound_nat0_acl permit ip host SBS 192.168.136.0 255.255.255.224
access-list outside_cryptomap_dyn_20 permit ip any 192.168.136.0 255.255.255.224

ip address outside dhcp setroute
ip address inside 192.168.137.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPNIP 192.168.136.1-192.168.136.30


global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VPNGroup address-pool VPNIP
vpngroup VPNGroup dns-server SBS
vpngroup VPNGroup wins-server SBS
vpngroup VPNGroup idle-time 1800
vpngroup VPNGroup password
Mitglied: mHoelle
14.12.2006 um 22:07 Uhr
O.K. ich habs. Es liegt am:

sysopt connection permit-ipsec

Das raus und die access-lists gehen wieder.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN Router Cisco Lancom?
gelöst Frage von geforce28Router & Routing42 Kommentare

Hallo Leute, ich bin seit ein paar Tagen stolzer Besitzer einen 200/20 Leitung von meinem Kabelanbieter. Der hat mir ...

Router & Routing
VPN Cisco Router 886VAJ
gelöst Frage von andi.wetzelRouter & Routing5 Kommentare

Hallo liebe Administratoren, seit zwei Wochen versuche ich eine VPN per PPTP oder IPSec einzurichten, leider ohne Erfolg. Ich ...

Router & Routing
Cisco 2951 VPN Problem
gelöst Frage von Serial90Router & Routing20 Kommentare

Moin Moin, ich habe folgendes Problem mit meinem Cisco: Wir haben einen VPN-Tunnel via SVTI Config zu einem anderen ...

LAN, WAN, Wireless
Cisco RV180W - Client VPN
Frage von MarkowitschLAN, WAN, Wireless3 Kommentare

Hallo lieber Netzwerker, ich habe einen Cisco RV180W Router welcher direkt mit einer öffentlichen statischen IP Adresse im Internet ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 15 StundenHumor (lol)2 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 1 TagErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 4 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 5 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
SSD zeigt falsche Werte
Frage von karl2014Festplatten, SSD, Raid25 Kommentare

Ich habe ein Problem mit der SSD in meinem Laptop mit Windows 10. Es ist eine 1Tb Platte die ...

Server-Hardware
WS 2016 Essentials Hardware
Frage von ChefknechtServer-Hardware23 Kommentare

Moin welche Hardware würdet ihr empfehlen? Dell Poweredge HP Proliant Fujitsu Ich bin total konfus was nun nötig ist, ...

Windows Server
Welche Option fürs Windows Server Installations besser
Frage von backitWindows Server22 Kommentare

Hi Zusammen, ich werde unserer AD (SBS 2011) und Exchange 2010 Servern auf neuen physikalischen Server umziehen. ich habe ...

Ubuntu
Installation freerdp 2.0.0-rc4
Frage von kristovUbuntu20 Kommentare

Hallo, möchte freerdp 2.0.0-rc4 auf linux mint 18.3 installieren, habe aber keine Ahnung, wie das funktioniert. freerdp 1.1 ist ...