Cisco ASA - Filtrer le contenu d'un tunnel VPN

Soumis par ayoubcyril le mar, 06/24/2008 - 17:20.

Tu aimerais filtrer le contenu d'un tunnel VPN en y insérant une ACL... comment faire?

Via la commande vpn-filter.

Exemple :
Interdire l'accès à mon serveur web 10.2.2.1 sur le trafic sortant du tunnel VPN
Remote host: 10.1.1.1
Local Host: 10.2.2.1


access-list 100 extended deny tcp host 10.1.1.1 host 10.2.2.1 eq ftp
access-list 100 extended permit ip any any


Définition de la fonction de filtrage:


group-policy FILTRE internal
group-policy FILTRE attributes
vpn-filter value 100

Puis dans le group-policy de mon tunnel, précise le filtrage:


tunnel-group MON_TUNNEL general-attributes
default-group-policy FILTRE

‹ Cisco ASA - Exporter un certificat PKCS12hautCisco ASA - Importer un certificat PKCS12 ›

Petite précision:

Soumis par kerlenpondi le lun, 07/07/2008 - 21:06.

 

Petite précision:

 

Le VPN-filtre est appliqué au trafic décrypté après la sortie du tunnel etavant l'encryptage d'entrée dans le tunnel.

 

-> Quand un VPN-filtre est appliqué à un group-policy/user d'un accès Client Remote VPN, l'adresse assignée au client doit être en src_ip position et le réseau local en dest_ip de l'ACL.

 

-> Quand un VPN-filtre est appliqué à un group-policy d'un LanToLan (L2L),l'ACL doit être configurée avec le réseau distant dans le src_ip position et le réseau local dans le dest_ip position.

... et un peut de pub pour payer l'hébergement ;)