URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21578
[ Назад ]

Исходное сообщение
"acl внутри IPSec туннеля"
Отправлено ivan , 09-Сен-10 12:45

Как применить acl к трафику внутри IPSec туннеля?

Содержание

acl внутри IPSec туннеля,zzzzzak, 16:07 , 09-Сен-10
- acl внутри IPSec туннеля,yurok48, 17:35 , 15-Ноя-10
  - acl внутри IPSec туннеля,lumenous, 09:48 , 16-Ноя-10
    - acl внутри IPSec туннеля,yurok48, 10:09 , 16-Ноя-10
      - acl внутри IPSec туннеля,yurok48, 11:18 , 16-Ноя-10

Сообщения в этом обсуждении

"acl внутри IPSec туннеля"
Отправлено zzzzzak , 09-Сен-10 16:07

>Как применить acl к трафику внутри IPSec туннеля?
crypto map MAP 10 ipsec-isakmp
set ip access-group NAME_LIST in|out

"acl внутри IPSec туннеля"
Отправлено yurok48 , 15-Ноя-10 17:35

>>Как применить acl к трафику внутри IPSec туннеля?
> crypto map MAP 10 ipsec-isakmp
> set ip access-group NAME_LIST in|out
Народ, выручайте! 2 недели бьюсь бестолку! IPSec поднимается нормально, пинги ходят.
Но set ip access-group ACL_IN in не работает.
ip access-list extended ACL_IN
deny ip any any log
Все ходит проходит. Ни чего не блокируется. Хотя
set ip access-group ACL_OUT out работает на ура.
ИОС c2800nm-adventerprisek9-mz.124-12.bin
Помогите плиз. Зарание спасибо!

"acl внутри IPSec туннеля"
Отправлено lumenous , 16-Ноя-10 09:48

>[оверквотинг удален]
>> crypto map MAP 10 ipsec-isakmp
>> set ip access-group NAME_LIST in|out
> Народ, выручайте! 2 недели бьюсь бестолку! IPSec поднимается нормально, пинги ходят.
> Но set ip access-group ACL_IN in не работает.
> ip access-list extended ACL_IN
> deny ip any any log
> Все ходит проходит. Ни чего не блокируется. Хотя
> set ip access-group ACL_OUT out работает на ура.
> ИОС c2800nm-adventerprisek9-mz.124-12.bin
> Помогите плиз. Зарание спасибо!
Ставьте не set а match

"acl внутри IPSec туннеля"
Отправлено yurok48 , 16-Ноя-10 10:09

> Ставьте не set а match
Наверное мы друг друга не допоняли!
С одной стороны Cisco с другой D-Link DI-804HV
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key testpass address 192.168.1.220
crypto isakmp nat keepalive 20
crypto ipsec transform-set 3DES-SHA-TUN esp-3des esp-sha-hmac
crypto map SVpn 11 ipsec-isakmp
set peer 192.168.1.220
set ip access-group ACL_IN in  <<- вот это не работает
set ip access-group ACL_OUT out
set security-association lifetime seconds 28800
set transform-set 3DES-SHA-TUN
set pfs group2
match address Vpn11
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SVpn
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
ip nat inside source route-map NAT-MAP interface FastEthernet0/1 overload
route-map NAT-MAP permit 10
match ip address NAT
!
ip access-list extended ACL_IN
deny   ip any any log
ip access-list extended ACL_OUT
permit ip 192.168.0.0 0.0.0.255 192.168.64.0 0.0.0.255 log
deny   ip any any log
ip access-list extended Vpn11
permit ip 192.168.0.0 0.0.255.255 192.168.64.0 0.0.0.31
ip access-list extended NAT
deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
permit ip 192.168.2.0 0.0.0.255 any

"acl внутри IPSec туннеля"
Отправлено yurok48 , 16-Ноя-10 11:18

>[оверквотинг удален]
> ip access-list extended ACL_IN
>  deny   ip any any log
> ip access-list extended ACL_OUT
>  permit ip 192.168.0.0 0.0.0.255 192.168.64.0 0.0.0.255 log
>  deny   ip any any log
> ip access-list extended Vpn11
>  permit ip 192.168.0.0 0.0.255.255 192.168.64.0 0.0.0.31
> ip access-list extended NAT
>  deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
>  permit ip 192.168.2.0 0.0.0.255 any
Заработало!!!!! =))))
Ни чего не менял!!!! Как то само собой!