Привет, ребята! недавно я начал работать в компании, где в качестве основных межсетевых экранов используются устройства ASA. Сейчас
я пытаюсь разобраться в концепциях VPN S2S и хотел бы получить некоторые разъяснения.
Сайт 1:
Частная подсеть: 192.168.1.0/24
WAN IP FW: 1.1.1.1 Сайт 2:
Частная подсеть: 192.168.2.0/24
WAN IP FW: 2.2.2.2 Когда я прочитал все руководства по настройке и документацию, я понял, что необходимо настроить криптографический ACL, который выделяет «интересный трафик». В приведенном выше случае разрешить 192.168.1.0 0.0.0.255 192.168.2.0 (и наоборот на другом FW). По какой-то странной причине к нашему WAN-интерфейсу (1.1.1.1) применен входящий ACL, который разрешает трафик от 2.2.2.2.
Насколько я понимаю, этот ACL не нужен, но мои старшие коллеги сказали мне, что он необходим для обмена трафиком на этапе 1. Теперь я запутался и не уверен, не могли бы вы помочь мне разобраться в этом? С уважением

]]>https://sla247.ru/forum/topic/2446/asa-site-to-site-vpn-нужен-ли-входящий-acl-на-интерфейсе-wanRSS for NodeThu, 14 May 2026 17:18:07 GMTMon, 02 Mar 2026 12:44:19 GMT60Just use global command "sysopt connection permit-vpn" and you can forget about ACL on incoming interface.

]]>https://sla247.ru/forum/post/20974https://sla247.ru/forum/post/20974Sat, 14 Mar 2026 15:45:47 GMTИзвините, если мой вопрос повторяется, но я новичок в ASA. После того, как данные были отправлены через туннель и успешно расшифрованы, вам понадобится дополнительный ACL на входящем внешнем интерфейсе, если не настроена команда «
sysopt connection permit-vpn
». Если команда настроена глобально, я могу опустить ACL? Другой ACL — это обычный ACL.

]]>https://sla247.ru/forum/post/17152https://sla247.ru/forum/post/17152Mon, 02 Mar 2026 12:44:25 GMT@enzo99
Команда «sysopt connection permit-vpn», упомянутая
@Network Diver
, переопределит ACL интерфейса для VPN-трафика, поэтому нет, не нужно. Кроме того, эта команда включена по умолчанию. Что касается первоначального вопроса, является ли ACL ACL контрольной плоскости или просто обычным ACL интерфейса?

]]>https://sla247.ru/forum/post/17151https://sla247.ru/forum/post/17151Mon, 02 Mar 2026 12:44:24 GMTЕще один вопрос: мне по-прежнему потребуется ACL на внешнем интерфейсе, который разрешает интересный трафик, выделенный в крипто-ACL, или трафик, упомянутый в крипто-ACL, разрешен по умолчанию? С уважением

]]>https://sla247.ru/forum/post/17150https://sla247.ru/forum/post/17150Mon, 02 Mar 2026 12:44:23 GMTЕсли на ASA установлено значение «sysopt connection permit-vpn», то политика VPN-туннеля имеет приоритет над списком доступа интерфейса.

]]>https://sla247.ru/forum/post/17149https://sla247.ru/forum/post/17149Mon, 02 Mar 2026 12:44:22 GMT@enzo99
, если вы используете VPN на основе политик, вам необходимо настроить криптографический ACL, определив интересный трафик, который будет шифроваться и туннелироваться через VPN. Это ACL контрольной плоскости на ASA? Его можно использовать для разрешения установления VPN от IP-адреса пира (2.2.2.2) к вашему ASA. Вам не обязательно нужен этот ACL (он является опциональным), но, вероятно, он нужен для того, чтобы ограничить только известные IP-адреса от связи с ASA и попыток установить VPN. Если он находится на внешнем интерфейсе, входящем на IP-адрес ASA, то он не будет иметь никакого эффекта для трафика «к» самому ASA для контроля установления VPN. Обычные ACL интерфейса ограничивают трафик «через» ASA.

]]>https://sla247.ru/forum/post/17148https://sla247.ru/forum/post/17148Mon, 02 Mar 2026 12:44:21 GMT@enzo99
Команда «
sysoptconnectionpermit-vpn»
в режиме глобальной конфигурации используется для разрешения трафика обходить списки доступа интерфейса. Если эта команда не настроена, необходимо явно разрешить трафик в ACL. Похоже, что другой ACL (трафик к/от публичного IP-адреса) является избыточным, но для подтверждения мне нужно его увидеть.

]]>https://sla247.ru/forum/post/17147https://sla247.ru/forum/post/17147Mon, 02 Mar 2026 12:44:20 GMT