Имеем схему сети, полностью описанную в примере
http://www.ciscolab.ru/security/38-vyhod-vpn-klienta-v-internet-cherez-pixasa.html
Cisco ASA в качестве центра, к ней конектятся remote access vpn, технология туннелирования - easyvpn/ezvpn. В качестве ремоутов используются cisco ios router 881.
На ase настроен split-tunneling = tunnel all networks. На асе же настроен nat на все сети филиалов.
Туннели строятся, филиалы ходят в инет через центральных офис, все вроде хорошо.
Стоит задача инет ограничивать - только фиксированные узлы, только фиксированные протоколы. Пишу на асе соотв. правило, проверяем его packet tracerом - все ок.
"Пишу" все это через asdm. Например
object-group network BRANCHES
network-object 10.120.120.0 255.255.255.0
object-group network Equaring
network-object host 1.1.1.1
1
source: BRANCHES
dest: Equaring
service: ip, icmp
action: permit
2
source: BRANCHES
dest: any
service: ip, icmp
action: deny
Но, в реальности правило не применяется! Все филиалы ходят в инет полностью, без ограничений!
Отмечу, что все это идет через один интерфейс "outside". И сеть филиала приходит с него, и с него же и уходит в инет.
Пол инета перерыл, нашел
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
это было изначально настроено, дело не в них.
Прошу помощи, как задействовать правила, когда source и dest ходят через один интерфейс?