https://opennet.ru/openforum/vsluhforumID6/15855.html Господа, есть такой вопрос... хотелось бы чтоб удаленные пользователи подключившись к корпорат.сети имели разные права доступа к ресурсам сети на уровне access-list.<br>Можно ли так сделать???? (Тоесть при логине одной группой доступ к одним хостам а при коннекте под другим именем к другим.)<br><br>я пробовал так, но не работает... при подключении по группе vpnclient пред.полный доступ, по группе vpnclient1 туннель устанавливается но пинга нет ни одного узла.<br><br>aaa authentication login userauthen local<br>aaa authorization network groupauthor local<br>!<br>username USER password 0 USER<br>!<br>!<br>crypto isakmp client configuration group vpnclient<br> key katya<br> dns 10.10.221.9<br> domain sales<br> pool ippool<br> acl 101<br>!<br>crypto isakmp client configuration group vpnclient1<br> key masha<br> dns 10.10.221.9<br> domain sales<br> pool ippool1<br> acl 120<br>!<br>!<br>crypto ipsec transform-set myset esp-3des esp-md5-hmac<br>!<br>crypto dynamic-map dynmap 10<br> set transform-set myset<br> reverse-route<br>!<br>!<br>crypto map clientmap client authentication li https://opennet.ru/openforum/vsluhforumID6/15855.html#9 Wed, 26 Mar 2008 07:32:48 GMT &gt;а по чему так? поясните пожалуйста? с выдачей ip из той же <br>&gt;подсети не нужно делать маршрутизацию, да и упрощается все. Почему советуете <br>&gt;другую подсеть? (в докак тоже используется другая подсеть но нет описания <br>&gt;причины) <br><br>маршрутизация все равно будет, хотя бы потому что присоединившится клиентам надо отправлять пакеты в другой интерфейс, вот и возможны проблемы<br>например с точки зрения жителя докальной сети адрес назначенный VPN клиенту считается локальным и пакеты не будут направляться на DG (что бы дальше уйти по туннелю) - ваш маршрутизатор. Вот вам проблема<br><br> https://opennet.ru/openforum/vsluhforumID6/15855.html#8 Wed, 26 Mar 2008 07:19:59 GMT а по чему так? поясните пожалуйста? с выдачей ip из той же подсети не нужно делать маршрутизацию, да и упрощается все. Почему советуете другую подсеть? (в докак тоже используется другая подсеть но нет описания причины)<br> https://opennet.ru/openforum/vsluhforumID6/15855.html#7 Wed, 26 Mar 2008 06:52:27 GMT &gt;понятно, я подозревал это так как пробовал вообще без acl (в первом, <br>&gt;рабочем случае). <br>&gt;хммм...а что же делать? как поступить в моем случае, или это нельзя <br>&gt;воплотить в принципе? <br>&gt;<br>&gt;задача такова... <br>&gt;конект под group1 - видит всю подсеть. <br>&gt;коннект под group2 - видит только определенные хосты. <br>&gt;коннект под group3 - к примеру определенные хосты по определенным портам. <br><br>мой вам совет, для выдачи клиентам VPN IP адресов возьмите не адреса локальной сети. Выберите свободную сеть/подсеть. <br> https://opennet.ru/openforum/vsluhforumID6/15855.html#6 Wed, 26 Mar 2008 06:46:28 GMT понятно, я подозревал это так как пробовал вообще без acl (в первом, рабочем случае).<br>хммм...а что же делать? как поступить в моем случае, или это нельзя воплотить в принципе?<br><br>задача такова...<br>конект под group1 - видит всю подсеть.<br>коннект под group2 - видит только определенные хосты.<br>коннект под group3 - к примеру определенные хосты по определенным портам.<br> https://opennet.ru/openforum/vsluhforumID6/15855.html#5 Wed, 26 Mar 2008 03:20:13 GMT &gt;люди добрые, подскажите... <br><br>ACL только задает таблицу маршрутизации на vpn-клиенте. Больше ничего<br> https://opennet.ru/openforum/vsluhforumID6/15855.html#4 Tue, 25 Mar 2008 09:39:47 GMT люди добрые, подскажите...<br> https://opennet.ru/openforum/vsluhforumID6/15855.html#3 Tue, 25 Mar 2008 08:06:00 GMT я подумал и сделал подругому (чтоб упростить)<br>НО НЕ РАБОТАЕТ ВСЕРАВНО!!!!!<br><br>crypto isakmp client configuration group vpnclient<br> key czins133<br> dns 10.10.221.9<br> domain czins<br> pool ippool<br> acl 101<br>!<br>crypto isakmp client configuration group vpnclient1<br> key czins785<br> dns 10.10.221.9<br> domain czins<br> pool ippool1<br> acl 1<br><br>access-list 101 permit ip any any<br><br>access-list 1 permit 10.10.221.11<br>access-list 1 permit 10.10.221.20<br>access-list 1 deny any<br> https://opennet.ru/openforum/vsluhforumID6/15855.html#2 Tue, 25 Mar 2008 08:02:51 GMT я так и сделал, и всеравно не работает...вот что мне не понятно.<br>а вообще такой конфиг правильный? вообще принцип...<br>Вы не пробовали на практике такую конфигурацию?<br>допустимо вообще наличии нескольких груп ?<br> https://opennet.ru/openforum/vsluhforumID6/15855.html#1 Tue, 25 Mar 2008 07:43:59 GMT &gt;[оверквотинг удален]<br>&gt;ip local pool ippool1 10.10.221.27 10.10.221.28 <br>&gt;! <br>&gt;access-list 101 permit ip any any (разрешины все хосты) <br>&gt;! <br>&gt;(хотелось бы разрешить только хосты 10.10.221.20 и 11) но не работает <br>&gt;access-list 120 permit ip host 10.10.221.20 host 10.10.221.27 <br>&gt;access-list 120 permit ip host 10.10.221.20 host 10.10.221.28 <br>&gt;access-list 120 permit ip host 10.10.221.11 host 10.10.221.27 <br>&gt;access-list 120 permit ip host 10.10.221.11 host 10.10.221.28 <br>&gt;access-list 120 deny ip any any <br><br>120 ACL настроен неправильно, поменяйте местами хосты в каждй записи<br>