Cisco ASA VPN-filter

Иногда возникает задача повесить ACL на входящий трафик из Site to Site VPN туннеля. И в Cisco это сделали очень не тривиальным способом… 
Эту задачу можно решить двумя способами:
1) Повесить ACL на интерфейс, но тогда правила затронут всё, что есть на интерфейсе. В моем случае это множество VPN туннелей.
2) Настроить VPN-filter на конкретном VPN туннеле.

Я пойду по второму пути. В теории, не должно быть ничего сложного, создаем несколько правил разрешающих из удаленной сети в нашу трафик, а всё остальное блокируем. Но нет, это же Cisco!
И так в ACL для Group Policy VPN туннеля (VPN-filter) всегда добавляются правила по такому шаблону:
Remote network -> Local network
А направление трафика указывается портом источника и назначения. На примере станет понятно, что я хочу сказать =)
 
 
И так Cisco ASA №1 — наш межсетевой экран, Cisco ASA №2 — наших партнеров (к нему у нас доступа нет, но тем не менее с ними нужен шифрованный канал).
Так как сейчас большинство используют ASDM, то скриншотами в нем и покажу пример.
Создадим новый Access list (ACL Site-to-Site_VPN) для нашего VPN туннеля и привяжем его к соответствующей групповой политике. Для примера я добавил три ACE правила в наш ACL:
1) Разрешает из удаленной сети доступ к серверу (local_ip) по https.
2) Разрешает из локальной сети в удаленную сеть доступ по ssh.
3) Запрещает всё остальное.
 
 
Теперь про тот самый нюанс. В первом правиле использовался https с портом назначения (такой объект мы обычно используем во всех ACL):
 
А вот во втором правиле использовался ssh_source с портом источника:
Эти порты и указывают направления трафика для правил.
Ну и напоследок не забываем повесть ACL в Group policy соответствующего VPN туннеля:
 
И не забывайте про sysopt connection permit-vpn

Добавить комментарий

Ваш адрес email не будет опубликован.