Frage : Cisco VPN und aufgeteilter Tunnelbau

Hallo jeder,
habe ich eine Ausgabe mit einer neuen Einstellung remtoe Zugang Cisco-VPN. Sie muss ein recht sicherer Anschluss sein, also wünsche ich nur Leute auf dieser VPN Gruppe Zugang zu bestimmten Häfen haben. Unter ist eine Aussage für meinen Spaltetunnel acl und es keinen problems.

extended Erlaubnis-IP-Wirt 192.168.100.2 10.254.254.0 255.255.255.0 ist

but adaequat, das ich es unten verriegeln möchte, also können die VPN Benutzer auf 10.254.254.0 den Zugang nur haben, zum 80 auf 192.168.100.2 so zu tragen, wenn ich die Richtlinie oben entferne und sie durch die folgende Richtlinie ersetze ich nur längeres Erlaubnis-TCP-Wirts-192.168.100.2 10.254.254.0 255.255.255.0 des Zugangshafens 80

extended eq 80

Can jemand erklären kann, was ich falsch in diesem Fall tun kann? Ich bin usisng ein 515 Pix auf Version 7.2

Antwort : Cisco VPN und aufgeteilter Tunnelbau

Eine andere Lösung kann Vpnfilter benutzen:

Wirts-192.168.100.2 eq 80 Zugangliste Filtererlaubnis-TCP-10.254.254.0 255.255.255.0
Zugangliste Filter verweigern Wirt 192.168.100.2 TCP-10.254.254.0 255.255.255.0
Zugangliste Filtererlaubnis-IP irgendein irgendein

Annehmen dieses u r using DfltGrpPolicy als die Gruppepolitik für Fern-zugang:

Gruppepolitik DfltGrpPolicy Attribute
 Vpnfilter Filter

Der Vorteil der Anwendung des Vpnfilters ist, dass er nicht sogar verweigerte Verkehr, um zum lokalen Netzwerk (LAN) zu gehen gewährt. Während, in der anderen Methode, nur die Antwort vom Lokalnetz verweigert. Das lokale Netzwerk (LAN) noch erhalten Anträge, das bedeutet verweigert zu werden.