ASA Site-to-Site VPN | Нужен ли входящий ACL на интерфейсе WAN?
-
Привет, ребята! недавно я начал работать в компании, где в качестве основных межсетевых экранов используются устройства ASA. Сейчас
я пытаюсь разобраться в концепциях VPN S2S и хотел бы получить некоторые разъяснения.
Сайт 1:
Частная подсеть: 192.168.1.0/24
WAN IP FW: 1.1.1.1 Сайт 2:
Частная подсеть: 192.168.2.0/24
WAN IP FW: 2.2.2.2 Когда я прочитал все руководства по настройке и документацию, я понял, что необходимо настроить криптографический ACL, который выделяет «интересный трафик». В приведенном выше случае разрешить 192.168.1.0 0.0.0.255 192.168.2.0 (и наоборот на другом FW). По какой-то странной причине к нашему WAN-интерфейсу (1.1.1.1) применен входящий ACL, который разрешает трафик от 2.2.2.2.
Насколько я понимаю, этот ACL не нужен, но мои старшие коллеги сказали мне, что он необходим для обмена трафиком на этапе 1. Теперь я запутался и не уверен, не могли бы вы помочь мне разобраться в этом? С уважением -
@enzo99
Команда «
sysoptconnectionpermit-vpn»
в режиме глобальной конфигурации используется для разрешения трафика обходить списки доступа интерфейса. Если эта команда не настроена, необходимо явно разрешить трафик в ACL. Похоже, что другой ACL (трафик к/от публичного IP-адреса) является избыточным, но для подтверждения мне нужно его увидеть. -
@enzo99
, если вы используете VPN на основе политик, вам необходимо настроить криптографический ACL, определив интересный трафик, который будет шифроваться и туннелироваться через VPN. Это ACL контрольной плоскости на ASA? Его можно использовать для разрешения установления VPN от IP-адреса пира (2.2.2.2) к вашему ASA. Вам не обязательно нужен этот ACL (он является опциональным), но, вероятно, он нужен для того, чтобы ограничить только известные IP-адреса от связи с ASA и попыток установить VPN. Если он находится на внешнем интерфейсе, входящем на IP-адрес ASA, то он не будет иметь никакого эффекта для трафика «к» самому ASA для контроля установления VPN. Обычные ACL интерфейса ограничивают трафик «через» ASA. -
Если на ASA установлено значение «sysopt connection permit-vpn», то политика VPN-туннеля имеет приоритет над списком доступа интерфейса.
-
Еще один вопрос: мне по-прежнему потребуется ACL на внешнем интерфейсе, который разрешает интересный трафик, выделенный в крипто-ACL, или трафик, упомянутый в крипто-ACL, разрешен по умолчанию? С уважением
-
@enzo99
Команда «sysopt connection permit-vpn», упомянутая
@Network Diver
, переопределит ACL интерфейса для VPN-трафика, поэтому нет, не нужно. Кроме того, эта команда включена по умолчанию. Что касается первоначального вопроса, является ли ACL ACL контрольной плоскости или просто обычным ACL интерфейса? -
Извините, если мой вопрос повторяется, но я новичок в ASA. После того, как данные были отправлены через туннель и успешно расшифрованы, вам понадобится дополнительный ACL на входящем внешнем интерфейсе, если не настроена команда «
sysopt connection permit-vpn
». Если команда настроена глобально, я могу опустить ACL? Другой ACL — это обычный ACL. -
Just use global command "sysopt connection permit-vpn" and you can forget about ACL on incoming interface.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти