web-dev-qa-db-ja.com

VPNエンドポイントとしてCiscoASAを使用しています。 VPNクライアントはどこでファイアウォールで保護されますか?

このASAは、セットアップしていないネットワークの前にあります。 CLIではなくクリックの多いGUI(ASDM)で構成されていますが、もっと意味がある場合はCLIを使用します。

このASAの仕事の1つは、リモートユーザーがVPNを使用して、内部のものを使用できるようにすることです。これは十分にうまくいきます。しかし、今私はそれらのVPNユーザーが行く場所を制限したいと思っています。それらのファイアウォールルールはどこに挿入しますか?物事には2つのネットワークがあり、クリエイティブに「外部」と「内部」のラベルが付けられています。

「X外部エンティティはこの内部のものを取得できる」というファイアウォールルールを作成している場合、それを「外部」インターフェイスに配置します。 VPNクライアントについても同じですか?

3
Bill Weiss

方法は次のとおりです。tunnel_vpn_userXはトンネルするサブネットを制御し、filter_vpn_userXはそのトンネル内で通常のアクセスリストフィルタリングを適用します。

object-group network tunnel_vpn_userX_local
 network-object <some local network>
 ...

access-list tunnel_vpn_userX extended permit ip object-group tunnel_vpn_userX_local any
access-list filter_vpn_userX extended permit tcp any <some local address> eq www

username userX password ...
username userX attributes
 vpn-group-policy userX
 vpn-tunnel-protocol IPSec
 service-type remote-access

group-policy userX internal
group-policy userX attributes
 vpn-filter value filter_vpn_userX
 vpn-tunnel-protocol IPSec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value tunnel_vpn_userX

私は何も見逃していなかったと思います...

6
oskie