Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 15:58



Ответить на тему  [ Сообщений: 9 ] 
Ограничение для VPN anyconnect пользователей 
Автор Сообщение

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Привет!
Никогда не было необходимости ограничивать впн польователя. Но вот возникла. Есть настроенный Anyconect. Нужно, что бы пользователи одного из Connection profile получали доступ только к определенным адресам внутри локальной сети. И тут я завис )


03 июл 2019, 20:08
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Вот такой список доступа на OUTSIDE, но не работает. Что я не так делаю/понимаю

Код:
access-list OUTSIDE line 1 extended permit ip object NETWORK_OBJ_10.100.10.0_24 object-group SUB-ACCESS
  access-list OUTSIDE line 1 extended permit ip 10.100.10.0 255.255.255.0 host 172.18.13.10
  access-list OUTSIDE line 1 extended permit ip 10.100.10.0 255.255.255.0 host 172.18.13.9
access-list OUTSIDE line 2 extended deny ip object NETWORK_OBJ_10.100.10.0_24 any
  access-list OUTSIDE line 2 extended deny ip 10.100.10.0 255.255.255.0 any
access-list OUTSIDE line 3 extended permit icmp any4 any4 echo-reply
access-list OUTSIDE line 4 extended permit icmp any4 any4 time-exceeded
access-list OUTSIDE line 5 extended permit icmp any4 any4 timestamp-reply
access-list OUTSIDE line 6 extended permit icmp any4 any4 unreachable
access-list OUTSIDE line 7 extended permit icmp any4 any4


03 июл 2019, 20:27
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
В IOS все просто:
можно или руками прописать ACL в свойствах policy group

policy group Users
filter tunnel 150

или с RADIUS-а отдать

RADIUS AV pairs:
webvpn:user-vpn-group=Users
webvpn:inacl=150

ACL прикручивается на In, т.е. должен фильтровать трафик от клиента к шлюзу (к внутр. сети).

access-list 150 remark === Restrict Access for Default Users SSL-VPN
access-list 150 permit ip any host 10.x.x.x
access-list 150 permit icmp any 10.0.0.0 0.255.255.255 echo-reply
access-list 150 remark

В ASA как обычно все мутно, но логика должна быть примерно похожая.
Вот есть дока, но она довольно старая и все могло уже пять раз поменяться.
Как в командах, так и в терминологии.

https://www.cisco.com/c/en/us/support/d ... ilter.html

_________________
Knowledge is Power


03 июл 2019, 20:41
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
А если простой список доступа на тот svi в котором находится inside. У меня так
6509--3850--asa. Между 3850 и аса езерченел. На 6509 влан рутиться .


03 июл 2019, 21:29
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Вот наглядная свежая дока:

ASA VPN Filter
https://integratingit.wordpress.com/201 ... pn-filter/

AlexNiko писал(а):
А если простой список доступа на тот svi в котором находится inside.

Через Group Policy механизм более гибкий, т.к. ограничения можно выставлять per user/per user group.
А на 6509 как вы их будете отлавливать? По IP адресам, которые динамические?

_________________
Knowledge is Power


Последний раз редактировалось Silent_D 03 июл 2019, 21:43, всего редактировалось 1 раз.



03 июл 2019, 21:32
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Кстати на isr тоже можно с локальной бд юзеров эниконнект фильтровать acl при помощи aaa attribute list без радиусов.


03 июл 2019, 21:41
Профиль ICQ

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
_2e_ писал(а):
Кстати на isr тоже можно с локальной бд юзеров эниконнект фильтровать acl при помощи aaa attribute list без радиусов.

Можно, да. Логика та же, только с локальной авторизацией.
Полезно как резерв, чтобы самому зайти, если RADIUS отвалится.
Или если юзеров мало и не хочется RADIUS поднимать.

aaa authentication login SSL-Login group radius local
aaa authorization network SSL group radius local

aaa attribute list Users_SSL-VPN
attribute type user-vpn-group "Users" mandatory
attribute type inacl "150" mandatory
!
username User10 secret 5 xxxxx
username User10 aaa attribute list Users_SSL-VPN

_________________
Knowledge is Power


03 июл 2019, 22:07
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
Как уже сказал Silent_D -
если вы в разных профилях используете разные group policy, то в рамках политик можете добавить фильтр
Код:
group-policy AnyConnectPolicy attributes
 vpn-filter value ACL

Если политика одна на всех, то можно dACL с радиуса отдать для определенных пользователей, групп пользователей.
Хотя наверное можно и пулы разные в профилях сделать и уже по ним наделать ACL,


04 июл 2019, 09:03
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
как сказали уже, список пользователей надо делать не на outside.


05 июл 2019, 02:34
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 86


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB