kroliczko 10 Geschrieben 6. Juni 2007 Melden Geschrieben 6. Juni 2007 Hallo Alleseits, Ich möchte eine Site to Site VPN zwischen 2 PIXen (506E) einrichten und möchte gerne wissen, wie ich den Traffic zwischen den beiden LANs genau steuern kann? Alles ist soweit eingerichtet und der tunnel wird aufgebaut, der traffic passiert auch ohne problem aber ich möchte den Zugriff zwischen den beiden LANs einschränken und zwar nur 2http" erlaube! PIX1: access−list 120 permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 sysopt connection permit−ipsec crypto ipsec transform−set myset esp−des esp−md5−hmac crypto map newmap 20 ipsec−isakmp crypto map newmap 20 match address 120 crypto map newmap 20 set peer X.X.X.X crypto map newmap 20 set transform−set myset isakmp enable outside isakmp key ******** address X.X.X.X netmask 255.255.255.255 no−xauth no−config−mode PIX2: access−list 110 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 sysopt connection permit−ipsec crypto ipsec transform−set myset esp−des esp−md5−hmac crypto map newmap 10 ipsec−isakmp crypto map newmap 10 match address 110 crypto map newmap 10 set peer Y.Y.Y.Y crypto map newmap 10 set transform−set myset crypto map newmap interface outside isakmp enable outside isakmp key ******** address Y.Y.Y.Y netmask 255.255.255.255 no−xauth no−config−mode Folgendes ist gewünscht: Die clients aus dem LAN(10.2.2.0/24) dürfen die clients(10.1.1.0/24) nur über "http" ansprechen wie kann man das am besten konfigurieren bzw. wie kann man generell den Traffic, der durch den VPN-tunnel fließt, kontrolieren? Danke & Schöne Grüße Zitieren
grizzly999 11 Geschrieben 6. Juni 2007 Melden Geschrieben 6. Juni 2007 Hallo und willkommen im Board :) Da der Beitrag nichts mit MCSE-Prüfungen zu tun hat, habe ich den ins richtige Forum verschoben. Bitte künftig die Wahl des richtigen Forums beachten ;) grizzly999 Zitieren
#9370 10 Geschrieben 6. Juni 2007 Melden Geschrieben 6. Juni 2007 einfach das "sysopt connection permit-ipsec" rausgeben und den Verkehr per ACL am Interface steuern. In der 6.x musst du dann möglicherweise ESP und ISAKMP in die ACL mitaufnehmen. Da bin ich mir aber nicht ganz sicher. /#9370 Zitieren
kroliczko 10 Geschrieben 12. Juni 2007 Autor Melden Geschrieben 12. Juni 2007 Vielen Dank für die Antwort... Es funkioniert ;-) Ciao Zitieren
hegl 10 Geschrieben 12. Juni 2007 Melden Geschrieben 12. Juni 2007 einfach das "sysopt connection permit-ipsec" rausgeben und den Verkehr per ACL am Interface steuern./#9370 Was meinst du mit rausgeben? Rausnehmen oder einfügen? Habe mir nie Gedanken über den Befehl gemacht, was macht der genau? Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.