L2TP over IPSec Filtern

[jeevan 10]

Hallo,

 

ich hab einen Concentrator 3030 welcher als VPN Gateway für WIN2003 Server dient. Tunnel Typ ist L2TP/IPSec mit Zertifikaten bzw. EAP/Radius. Funktioniert auch alles prima.

 

Meine Frage bezieht sich auf das Filtern auf dem Cisco.

Wenn ich L2TP (in und out) erlaube kommt alles durch, wenn die Regel fehlt, dann nichts mehr. Dies führte bei mir zu der Erkenntnis, dass also auf IPSec "Ebene" gefiltert wird. Wie kann ich nun sagen, was nun wirklich durch meinen L2TP/IPSec Tunnel kann/darf und was nicht??? :rolleyes: Jemand nen Tipp für mich?

 

jee

[Wordo 11]

Hmmm ... bezieh dich auf die out-Regel am interner Interface. Da sollte der Verkehr nicht mehr verschluesselt sein ..

[jeevan 10]

Ich weiß nicht ob mich das weiter bringt. Was ich möchte, ist verschieden Gruppen verschiedene Filter zu zuteilen. In der Doku steht, dass L2TP/IPSec Tunnel Gruppen nur weniger oder gleiche viele Rechte wie die BaseGroup haben können. Ich habe dann also zum Testen der BaseGroup alles erlaubt und den Untergruppen die Rechte nach meinen Wünschen beschnitten. Z.B.: Gruppe1 darf VNC und Guppe 2 nicht. geht aber nicht.

[Wordo 11]

Mach das doch mit IPPools .. also Gruppe A bekommt IPPool A und der wiederum hat die ACL mit den ensprechenden permits

[jeevan 10]

Mit den IP-Pools hab ich auch Probleme...

- Systemweit ist ein Pool A definiert (10.1.1.0/24)

- Gruppe A hat Pool B (10.180.1.0/24)

- Gruppe B hat Pool C (10.1.2.0/24)

 

Jetzt wird aber beim Login immer eine IP Addr aus Pool A zugewiesen, obwohl die Logs mir sagen, dass die Clients in der richtigen Gruppe gelanden sind....????

[Wordo 11]

Gruppen etc machst du mit der 3030? Also ich manage das alles ueber Radius, bedeutend angenehmer :)

[jeevan 10]

Ich verwende den IAS als RADIUS an einem Active Directory. Leider ist das mit dem ADS noch etwas neu für mich und auch nicht meine Baustelle, daher hab ich auch keine Ahnung wo ich da sowas eintragen kann.