https://www.opennet.ru/openforum/vsluhforumID6/23528.html Доброго времени суток!<br><br>Прошу помочь в правильности создания ACL на ASA для внешнего интерфейса.<br>Ситуация у нас такая: есть ASA, из интерфейса outside в интерфейс inside подключаются пользователи по VPN. Успешно работают и т.д. Ната на интерфейсе нет и не нужен. Т.к. он только для подключения VPN-клиентов. Сейчас руководство решило органичить доступ и отказаться от мобильных VPN-клиентов. И необходимо разрешить доступ на внешний интерфейс только определенным IP-адресам.<br>Вот тут у нас возникла проблема, не получается настроить ACL на ASA. На обычных роутерах работает, здесь ни как не получается. Пробовали в разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу.<br>ACL писали его в разных направлениях, окончательный вариант:<br>access-list VPN extended permit ip int outside host 200.200.x.x<br>access-list VPN extended permit ip int outside host 200.201.x.x<br>Int:<br>access-group VPN in interface ou https://www.opennet.ru/openforum/vsluhforumID6/23528.html#3 Tue, 14 Feb 2012 08:51:27 GMT Всем спасибо, что откликнулись.<br>sysopt - отключен, все равно пользователи подключаются<br>no sysopt connection permit-vpn<br><br>ACL действительно странный т.к. это последний вариант ACL.<br>Вначале действительно создали ACL вот такой:<br>access-list VPN ext permit udp host 200.200.х.х host 100.100.х.х eq 500<br>access-list VPN ext permit udp host 200.200.х.х host 100.100.х.х eq 4500<br>где 200.200.х.х адрес интерфейса, а 100.100.х.х адрес клиентов<br>поробовали:<br>access-list VPN ext deny udp any host 200.200.х.х eq 500 <br>access-list VPN ext deny udp any host 200.200.х.х eq 4500 <br>пробовали явно прописать:<br>access-list VPN extended deny ip any any<br>оставляли на интерфейсе только:<br>access-list VPN extended deny ip any any<br>Все равно подключаются и пинги идут.<br>Направлени ACL:<br>access-group VPN in interface outside<br>Может еще есть какие-то настройки, глобальные?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/23528.html#2 Tue, 14 Feb 2012 08:16:38 GMT &gt;[оверквотинг удален]<br>&gt; На обычных роутерах работает, здесь ни как не получается. Пробовали в <br>&gt; разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как <br>&gt; правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу. <br>&gt; ACL писали его в разных направлениях, окончательный вариант: <br>&gt; access-list VPN extended permit ip int outside host 200.200.x.x <br>&gt; access-list VPN extended permit ip int outside host 200.201.x.x <br>&gt; Int: <br>&gt; access-group VPN in interface outside <br>&gt; Картина получается следующая: по прежнему может подключаться любой пользователь.<br>&gt; Что-то мы упустили существенное?<br><br>то есть вам необходимо только с определенных ip разрешить подключение по vpn?<br>странный у Вас очень acl<br>я так думаю что acl должны быть следующего вида<br>access-list VPN extendid permit ip host 100.100.100.1 host 200.200.1.1(это ваш внешний ip для vpn) - этот acl разрешать подключаться к VPN с ip-адреса 100.100.100.1<br>access-list VPN extendid deny ip any host 200.200 https://www.opennet.ru/openforum/vsluhforumID6/23528.html#1 Tue, 14 Feb 2012 08:12:53 GMT &gt;[оверквотинг удален]<br>&gt; На обычных роутерах работает, здесь ни как не получается. Пробовали в <br>&gt; разных вариантах написать - типа научного тыка. Неполучается. Подскажите, пожалуйста как <br>&gt; правильно напиписать ACL или возможно правильно прикрутить его в внешнему интерфейсу. <br>&gt; ACL писали его в разных направлениях, окончательный вариант: <br>&gt; access-list VPN extended permit ip int outside host 200.200.x.x <br>&gt; access-list VPN extended permit ip int outside host 200.201.x.x <br>&gt; Int: <br>&gt; access-group VPN in interface outside <br>&gt; Картина получается следующая: по прежнему может подключаться любой пользователь.<br>&gt; Что-то мы упустили существенное?<br><br>По умолчанию в ASA включена команда sysopt connection permit-vpn, которая позволяет трафику VPN обходить входящий ACL интерфейса, на котором терминируется VPN. ACL присвоенные в процессе авторизации пользователей (group policy и per-user ACL) применяются.<br><br><br>