The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"acl внутри IPSec туннеля"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"acl внутри IPSec туннеля"  +/
Сообщение от ivan (??) on 09-Сен-10, 12:45 
Как применить acl к трафику внутри IPSec туннеля?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "acl внутри IPSec туннеля"  +/
Сообщение от zzzzzak (ok) on 09-Сен-10, 16:07 
>Как применить acl к трафику внутри IPSec туннеля?

crypto map MAP 10 ipsec-isakmp
set ip access-group NAME_LIST in|out

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "acl внутри IPSec туннеля"  +/
Сообщение от yurok48 (ok) on 15-Ноя-10, 17:35 
>>Как применить acl к трафику внутри IPSec туннеля?
> crypto map MAP 10 ipsec-isakmp
> set ip access-group NAME_LIST in|out

Народ, выручайте! 2 недели бьюсь бестолку! IPSec поднимается нормально, пинги ходят.
Но set ip access-group ACL_IN in не работает.

ip access-list extended ACL_IN
deny   ip any any log

Все ходит проходит. Ни чего не блокируется. Хотя
set ip access-group ACL_OUT out работает на ура.

ИОС c2800nm-adventerprisek9-mz.124-12.bin

Помогите плиз. Зарание спасибо!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "acl внутри IPSec туннеля"  +/
Сообщение от lumenous (ok) on 16-Ноя-10, 09:48 
>[оверквотинг удален]
>> crypto map MAP 10 ipsec-isakmp
>> set ip access-group NAME_LIST in|out
> Народ, выручайте! 2 недели бьюсь бестолку! IPSec поднимается нормально, пинги ходят.
> Но set ip access-group ACL_IN in не работает.
> ip access-list extended ACL_IN
>  deny   ip any any log
> Все ходит проходит. Ни чего не блокируется. Хотя
> set ip access-group ACL_OUT out работает на ура.
> ИОС c2800nm-adventerprisek9-mz.124-12.bin
> Помогите плиз. Зарание спасибо!

Ставьте не set а match

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "acl внутри IPSec туннеля"  +/
Сообщение от yurok48 (ok) on 16-Ноя-10, 10:09 
> Ставьте не set а match

Наверное мы друг друга не допоняли!
С одной стороны Cisco с другой D-Link DI-804HV

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2

crypto isakmp key testpass address 192.168.1.220
crypto isakmp nat keepalive 20

crypto ipsec transform-set 3DES-SHA-TUN esp-3des esp-sha-hmac

crypto map SVpn 11 ipsec-isakmp
set peer 192.168.1.220
set ip access-group ACL_IN in  <<- вот это не работает
set ip access-group ACL_OUT out
set security-association lifetime seconds 28800
set transform-set 3DES-SHA-TUN
set pfs group2
match address Vpn11

interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SVpn

interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
duplex auto
speed auto

ip nat inside source route-map NAT-MAP interface FastEthernet0/1 overload

route-map NAT-MAP permit 10
match ip address NAT
!

ip access-list extended ACL_IN
deny   ip any any log

ip access-list extended ACL_OUT
permit ip 192.168.0.0 0.0.0.255 192.168.64.0 0.0.0.255 log
deny   ip any any log

ip access-list extended Vpn11
permit ip 192.168.0.0 0.0.255.255 192.168.64.0 0.0.0.31

ip access-list extended NAT
deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
permit ip 192.168.2.0 0.0.0.255 any

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "acl внутри IPSec туннеля"  +/
Сообщение от yurok48 (ok) on 16-Ноя-10, 11:18 
>[оверквотинг удален]
> ip access-list extended ACL_IN
>  deny   ip any any log
> ip access-list extended ACL_OUT
>  permit ip 192.168.0.0 0.0.0.255 192.168.64.0 0.0.0.255 log
>  deny   ip any any log
> ip access-list extended Vpn11
>  permit ip 192.168.0.0 0.0.255.255 192.168.64.0 0.0.0.31
> ip access-list extended NAT
>  deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
>  permit ip 192.168.2.0 0.0.0.255 any

Заработало!!!!! =))))
Ни чего не менял!!!! Как то само собой!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру