Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Verständnissfrage zu Portbeschränkung bei Cisco Remote-VPN

Mitglied: mHoelle

mHoelle (Level 1) - Jetzt verbinden

14.12.2006, aktualisiert 22:07 Uhr, 3668 Aufrufe, 1 Kommentar

Hallo,

ich hab hier ein Verständnissproblem bei einer Cisco PIX.

Und zwar geht es um die Art und Weise wie man den Netzwerkverkehr durch eine VPN-Verbindung beschränken kann.

Bei einem Net-to-Net VPN ist alles klar. Da geht nach Aufbau des Tunnels erstmal nichts und man muss dann die Ports per Access-List und group outside freischalten.

Wie sieht das aber mit dem Client-to-Net (Remote VPN) aus. Da ist erstmal ALLER Datenverkehr erlaubt und wie man ihn beschränken kann finde ich nicht in der Doku.
Nach Methode von oben mit deny Regeln funktioniert auf jedenfall nicht. Ich habe folgende Regeln hinzugefügt, aber es ist immer noch möglich sich über den Tunnel zu verbinden. Ich möchte aber den Datenverkehr durch den Tunnel auf ein paar Protokolle einschränken.

access-list in-to-out deny tcp 192.168.136.0 255.255.255.0 host SBS
access-list in-to-out deny tcp host SBS 192.168.136.0 255.255.255.0
access-group in-to-out in interface outside


Kann mir das mal bitte jemand schnell erklären.
Ein Link wäre auch nett.
Habe bei Cisco schon Stunden gesucht aber nichts gefunden. Da ist immer nur der Aufbau der VPN erklärt.

VPN-Client 3.4; Preshared Keys; PIX501


Vielen Dank

Anbei die interesanten Konfigteile:


interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100

name 192.168.137.1 SBS

access-list inside_outbound_nat0_acl permit ip host SBS 192.168.136.0 255.255.255.224
access-list outside_cryptomap_dyn_20 permit ip any 192.168.136.0 255.255.255.224

ip address outside dhcp setroute
ip address inside 192.168.137.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPNIP 192.168.136.1-192.168.136.30


global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VPNGroup address-pool VPNIP
vpngroup VPNGroup dns-server SBS
vpngroup VPNGroup wins-server SBS
vpngroup VPNGroup idle-time 1800
vpngroup VPNGroup password
Mitglied: mHoelle
14.12.2006 um 22:07 Uhr
O.K. ich habs. Es liegt am:

sysopt connection permit-ipsec

Das raus und die access-lists gehen wieder.
Bitte warten ..
Ähnliche Inhalte
SAN, NAS, DAS

IBM DS3300 - Probleme und Verständnissfragen

Frage von aeon1978SAN, NAS, DAS6 Kommentare

Hallo zusammen, ich habe mir eine gebrauchte DS3300 1726-HC3 gekauft. Nun möchte ich das Gerät einrichten und scheitere schon ...

Windows 10

REMOTE ÜBER VPN GESCHÜTZT VOM HACKER

gelöst Frage von bozz27Windows 1027 Kommentare

hallo zusammen habe ein dickes problem wer kann helfen ?? bin seit einer woche am machen und tun keine ...

Batch & Shell

Powershell Remote VPN einrichten

gelöst Frage von BuggerBatch & Shell4 Kommentare

Hallo zusammen, Um Remote Programme zu installieren nutze ich was auch sehr gut funktioniert. Nun würde ich das gerne ...

Windows Server

VPN geht, aber kein Remote Desktop

Frage von weberandreWindows Server7 Kommentare

Hallo, habe folgendes Problem bei einem meiner Kunden. Der Kunde hat ein Lancom1781VA Router (IP 192.168.0.254) und Windows Server ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 21 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 4 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 4 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...