PleskovGrad Posted April 10, 2013 Posted April 10, 2013 Имеем схему сети, полностью описанную в примере http://www.ciscolab.ru/security/38-vyhod-vpn-klienta-v-internet-cherez-pixasa.html Cisco ASA в качестве центра, к ней конектятся remote access vpn, технология туннелирования - easyvpn/ezvpn. В качестве ремоутов используются cisco ios router 881. На ase настроен split-tunneling = tunnel all networks. На асе же настроен nat на все сети филиалов. Туннели строятся, филиалы ходят в инет через центральных офис, все вроде хорошо. Стоит задача инет ограничивать - только фиксированные узлы, только фиксированные протоколы. Пишу на асе соотв. правило, проверяем его packet tracerом - все ок. "Пишу" все это через asdm. Например object-group network BRANCHES network-object 10.120.120.0 255.255.255.0 object-group network Equaring network-object host 1.1.1.1 1 source: BRANCHES dest: Equaring service: ip, icmp action: permit 2 source: BRANCHES dest: any service: ip, icmp action: deny Но, в реальности правило не применяется! Все филиалы ходят в инет полностью, без ограничений! Отмечу, что все это идет через один интерфейс "outside". И сеть филиала приходит с него, и с него же и уходит в инет. Пол инета перерыл, нашел same-security-traffic permit inter-interface same-security-traffic permit intra-interface это было изначально настроено, дело не в них. Прошу помощи, как задействовать правила, когда source и dest ходят через один интерфейс? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.