PleskovGrad Опубликовано 10 апреля, 2013 · Жалоба Имеем схему сети, полностью описанную в примере http://www.ciscolab.ru/security/38-vyhod-vpn-klienta-v-internet-cherez-pixasa.html Cisco ASA в качестве центра, к ней конектятся remote access vpn, технология туннелирования - easyvpn/ezvpn. В качестве ремоутов используются cisco ios router 881. На ase настроен split-tunneling = tunnel all networks. На асе же настроен nat на все сети филиалов. Туннели строятся, филиалы ходят в инет через центральных офис, все вроде хорошо. Стоит задача инет ограничивать - только фиксированные узлы, только фиксированные протоколы. Пишу на асе соотв. правило, проверяем его packet tracerом - все ок. "Пишу" все это через asdm. Например object-group network BRANCHES network-object 10.120.120.0 255.255.255.0 object-group network Equaring network-object host 1.1.1.1 1 source: BRANCHES dest: Equaring service: ip, icmp action: permit 2 source: BRANCHES dest: any service: ip, icmp action: deny Но, в реальности правило не применяется! Все филиалы ходят в инет полностью, без ограничений! Отмечу, что все это идет через один интерфейс "outside". И сеть филиала приходит с него, и с него же и уходит в инет. Пол инета перерыл, нашел same-security-traffic permit inter-interface same-security-traffic permit intra-interface это было изначально настроено, дело не в них. Прошу помощи, как задействовать правила, когда source и dest ходят через один интерфейс? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
