Whistleblower 45 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Hi, habe derzeit einige feste VPN-Tunnel auf einem Cisco 871 konfiguriert. Für gewöhnlich sind das L2L-Verbindungen, bei einem soll jetzt aber der Zugriff auf einzelne Hosts eingeschränkt werden. Habe dementsprechend eine ACL angelegt bzw angepasst und die auf das externe Interface (Fast Eth4) gebunden. Sie scheint aber nicht zu greifen, denn ich habe auch weiterhin noch durch den Tunnel Zugriff auf andere Hosts... Wahrscheinlich mache ich hier einen Denkfehler und muss als ACL dieselbe verwenden, die ich als IPSec-ACL (also welcher Traffic verschlüsselt werden soll) verwende? Greift die ACL auf Fast Eth4 evtl. nur für Verbindungen, die mit öffentl. IP reinkommen? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Binde die ACL an Vlan1 mit geaenderter Richtung. Dann passts ... Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 9. Januar 2007 Autor Melden Teilen Geschrieben 9. Januar 2007 Das hatte ich ja auch erst gedacht... ACL 100 erstellt in der Form: permit ip 192.168.0.0 0.0.0.255 host 192.168.100.120 ... deny ip any any und anschließend in Int VLAN1 access-group 100 in Das hat aber leider nicht zum Erfolg geführt. Oder muss ich dann access-group 100 out konfigurieren? Sinngemäß kommt der Traffic doch über Fast Eth 4 über den Tunnel rein und geht dann IN in VLAN1, und nicht OUT? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Nein, du musst dich immer "in das Interface versetzen", sprich, wenn du ausgehende Verbindungen (also raus ins Internet) erlauben willst, dann machst du bei Vlan1 "in" (vice versa fuer eingehend). Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 9. Januar 2007 Autor Melden Teilen Geschrieben 9. Januar 2007 Hm also in der Art: interface Vlan1 description LAN_intern ip address 172.16.0.1 255.255.0.0 ip access-group 100 [u][b]out[/b][/u] ... access-list 100 remark ### Zugriff ins LAN ### ... access-list 100 permit ip 192.168.0.0 0.0.0.255 host 172.16.x.y ... access-list 100 deny ip any any Also sage ich im Interface nicht, ob es IN- oder OUT-going Traffic ist, sondern ob er von IN oder OUTside kommt... Das erklärt das natürlich... Werde das heute abend mal ändern! Dank Dir! Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Mit der Regel erlaubst du den Zugriff von 192.168.0.0/24 auf 172.16.x.y ... Bedenke aber auch, dass dann wirklich nichts anderes mehr funktioniert (Inet-Traffic) Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 9. Januar 2007 Autor Melden Teilen Geschrieben 9. Januar 2007 Die anderen Netze habe ich bei dem Beispiel ausgeblendet... Muss ich denn für Inet-Traffic extra Zugriff erlauben, selbst wenn er vom LAN initiert wurde? Ich betreibe ja keinen Webservices hier, die von extern erreichbar sein müssen... Nur das übliche halt - Surfen und pop3/imap/smtp abrufen bzw. senden... Gibt's ansonsten eine gute Beispielkonfig dazu? Ich wollte eigentlich nicht einzelne deny's und am Ende ein Permit all konfigurieren... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Also wenns jetzt eh schon geht und du die Regel nur erweiterst passts schon. Prinzipiell verbietest du mit der Regel saemlichen eingehenden Traffic, z.B. auch Antworten von DNS-Abfragen. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 15. Januar 2007 Autor Melden Teilen Geschrieben 15. Januar 2007 So, funzt übrigens alles so, wie gewünscht...! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.