Cisco ASA: hulp bij IPSec Tunnel VPN Filter gevraagd

donderdag 28 november 2013 17:04

Acties:

0 Henk 'm!

Topicstarter

Beste Tweakers,

Ik ben al een tijdje op zoek naar een oplossing voor mijn probleem maar helaas kan ik het niet vinden, vandaar de experts maar even ter hulp roepen

We hebben een Cisco ASA 5505 en zullen een IPSEC tunnel opzetten naar onze partner. Qua administratie heb ik enkel toegang tot onze eigen Firewall dus een oplossing voor mijn probleem dient op dit apparaat te gebeuren.

In een test opstelling heb ik de IPSEC tunnel perfect werkende, enkel heb ik een probleem bij het beperken van de traffiek over deze tunnel. Ik heb reeds deze VPN Filter tutorial doorlopen maar ik krijg de ACL niet correct geconfigureerd.

Het doel is dat wij enkele hosts op het remote netwerk kunnen benaderen, maar omgekeerd geen traffiek mogelijk is. Ons netwerk moet dus volledig afgeschermd worden terwijl onze gebruikers toegang krijgen op enkele IP adressen op het remote netwerk.

Ik heb reeds allerlei combinaties geprobeerd in de VPN filter, maar helaas is meestal niets of alles mogelijk. In omgekeerde richting (extern naar intern) heb ik via de VPN filter al wél kunnen beperken, maar dat is helaas niet de bedoeling.

Tijdens het testen wijzig ik de ACL, pas ik deze toe op het group policy en vervolgens reset ik de IPSEC tunnel zodat ik zeker ben dat de wijzigingen van kracht worden. (dit even ter verduidelijking)

Wie o wie kan me helpen?

http://www.tweakers.net/gallery/sys/2314

vrijdag 29 november 2013 00:00

Acties:

0 Henk 'm!

_-= Erikje =-_

waren die filters niet juist niet statefull? Ik regel het meestal gewoon in de ACL van de externe interface (isp facing)

vrijdag 29 november 2013 11:51

Acties:

0 Henk 'm!

Robbeke

Topicstarter

@Erikje: in de ACL van de externe interface lijkt niet te werken? de tunnel bypassed toch deze ACL's?

[ Voor 51% gewijzigd door Robbeke op 29-11-2013 11:52 ]

http://www.tweakers.net/gallery/sys/2314

vrijdag 29 november 2013 14:19

Acties:

0 Henk 'm!

bigfoot1942

Niet zo concreet (aangezien ik geen Cisco ASA kan) maar globaal:

Bij een policy based VPN doe je dit door de inkomende policy weg te gooien of te disablen. Of in eerste instantie alleen een uitgaande policy op te bouwen.

Bij een route based VPN moet je gewoon access policies instellen om verkeer toe te staan dan wel te disablen.

Waarom je met VPN filtering bezig zou moeten is mij dus een raadsel. Of een ASA is echt een raar ding.

vrijdag 29 november 2013 17:07

Acties:

0 Henk 'm!

Robbeke

Topicstarter

Als ik een rule op de outside interface plaats die communicatie blocked tussen een host op het remote network en het lokale netwerk, dan blijft dit gewoon werken. Ik kan dus enkel concluderen dat de rules op de outside interface geen effect hebben.

Kan het te maken hebben met de instelling "Exempt ASA side host/network from address translation" wat ingesteld staat op "inside" of NAT-T, wat geactiveerd is?

http://www.tweakers.net/gallery/sys/2314

vrijdag 29 november 2013 23:28

Acties:

0 Henk 'm!

pablo_p

Om verkeer dat binnenkomt uit de VPN tunnel te filteren, is een setting op de pagina "Configuration > Site-to-Site VPN > Connection Profiles" beangrijk, namelijk: "Bypass interface access-lists for inbound VPN sessions". Als je die uitvinkt, bepaal je met je outside interface ACL's wat er toegestaan is vanuit de VPN tunnel.

De access-list die je hebt gemaakt om te bepalen welk verkeer de VPN tunnel in moet, is NIET geschikt voor filtering van verkeersstromen en richtingen. Die moet gewoon subnets (en eventueel hosts) bevatten op IP niveau en niets op protocol/poort niveau.

De NAT-T instelling heeft hier niets mee te maken. NAT is iets anders dan firewall rules.

maandag 2 december 2013 15:17

Acties:

0 Henk 'm!

Robbeke

Topicstarter

@pablo_p: dat was inderdaad wat ik zocht en waar ik totaal overgekeken heb. Staarde me blind op de profielen zelf

Mijn dank is groot!

http://www.tweakers.net/gallery/sys/2314

Onderwerpen