URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23833
[ Назад ]

Исходное сообщение
"Ограничение доступа VPN клиентов друг к другу."
Отправлено Андрей , 30-Май-12 12:09

Добрый день,
Стоит задача объединить в одну VPN сеть около 2000 клиентов. В этой сети будет 3 группы клиентов:
1. Просто клиенты - не должны видеть друг друга по-умолчанию. Но должны видеть определенных клиентов.
2. Клиент сервер - должен видеть определенный список клиентов.
3. Клиент администратор - должен видеть всех клиентов.
Помогите, пожалуйста, в решении следующих вопросов:
Если в роли сервера VPN (L2TP, IPSec) будет выступать ASA 5540, сможет ли она обеспечить требуемые ограничения доступа.
С помощью чего это будет реализовываться, какие команды, функционал, примерная схема.
Недавно была похожая тема, но там рассматривается физическая сеть и там клиенты в своей сети общаются напрямую, в моему они не могут общаться напрямую, все пакеты пойдут через Cisco.

Содержание

Ограничение доступа VPN клиентов друг к другу.,Николай_kv, 12:38 , 30-Май-12
- Ограничение доступа VPN клиентов друг к другу.,Aleks305, 13:40 , 30-Май-12
  - Ограничение доступа VPN клиентов друг к другу.,Андрей, 14:45 , 30-Май-12
- Ограничение доступа VPN клиентов друг к другу.,Андрей, 14:35 , 30-Май-12
  - Ограничение доступа VPN клиентов друг к другу.,Aleks305, 23:11 , 30-Май-12

Сообщения в этом обсуждении

"Ограничение доступа VPN клиентов друг к другу."
Отправлено Николай_kv , 30-Май-12 12:38

>[оверквотинг удален]
> видеть определенных клиентов.
> 2. Клиент сервер - должен видеть определенный список клиентов.
> 3. Клиент администратор - должен видеть всех клиентов.
> Помогите, пожалуйста, в решении следующих вопросов:
> Если в роли сервера VPN (L2TP, IPSec) будет выступать ASA 5540, сможет
> ли она обеспечить требуемые ограничения доступа.
> С помощью чего это будет реализовываться, какие команды, функционал, примерная схема.
> Недавно была похожая тема, но там рассматривается физическая сеть и там клиенты
> в своей сети общаются напрямую, в моему они не могут общаться
> напрямую, все пакеты пойдут через Cisco.
Технически не нарисую - делают связку ASA <=radius=> ACS который нарезает по username определенный набор acl.
Как вариант без ACS (если нет специфических требований по каждому клиенту из 2000) создать несколько профилей на профили накинуть ацл и раздать народу. Но данная фишка применима к Easy VPN конектам.
В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать username к ИП и исходя из этого что-то творить. Как реализовать сие на АСА без посторонних инструментов я не знаю.

"Ограничение доступа VPN клиентов друг к другу."
Отправлено Aleks305 , 30-Май-12 13:40

>[оверквотинг удален]
>> в своей сети общаются напрямую, в моему они не могут общаться
>> напрямую, все пакеты пойдут через Cisco.
> Технически не нарисую - делают связку ASA <=radius=> ACS который нарезает по
> username определенный набор acl.
> Как вариант без ACS (если нет специфических требований по каждому клиенту из
> 2000) создать несколько профилей на профили накинуть ацл и раздать народу.
> Но данная фишка применима к Easy VPN конектам.
> В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать
> username к ИП и исходя из этого что-то творить. Как реализовать
> сие на АСА без посторонних инструментов я не знаю.
сделать можно.2000 клиентов...мне кажется одной ASA будут маловато, даже 5540, лучше кластер собрать хотя бы из двух. В этом случае без ACS cisco сложновато будет выполнить требования по ACL.

"Ограничение доступа VPN клиентов друг к другу."
Отправлено Андрей , 30-Май-12 14:45

> сделать можно.2000 клиентов...мне кажется одной ASA будут маловато, даже 5540, лучше кластер
> собрать хотя бы из двух. В этом случае без ACS cisco
> сложновато будет выполнить требования по ACL.
Да вроде не планируем сильно большой нагрузки. У нее в характеристиках 5000 сессий L2TP IPSec и 325 Mbit. У нас будет максимум 2000 сессий и 50-100 Mbit в рабочем режиме. Большинство из VPN сессий будет просто висеть. Одновременно работать планируется примерно со 100 сессиями.

"Ограничение доступа VPN клиентов друг к другу."
Отправлено Андрей , 30-Май-12 14:35

> В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать
> username к ИП и исходя из этого что-то творить. Как реализовать
> сие на АСА без посторонних инструментов я не знаю.
Да мне как раз хотелось бы обойтись без лишних устройств и серверов. Аутентификация из локальной БД, а не с Radius. Привязывать Имя и IP, а дальше access листами по ip ограничивать доступ. Проблема как раз в том, что в основном мы имели дело с маршрутизаторами и не знаем, что будет в случае ASA.
Easy vpn не подходит, потому что на клиентской стороне ожидается тот еще огород и требуется автоматическое подключение.

"Ограничение доступа VPN клиентов друг к другу."
Отправлено Aleks305 , 30-Май-12 23:11

>> В L2TP на самом маршрутизаторе (роутер в роли концентратора ВПН) можно привязать
>> username к ИП и исходя из этого что-то творить. Как реализовать
>> сие на АСА без посторонних инструментов я не знаю.
> Да мне как раз хотелось бы обойтись без лишних устройств и серверов.
> Аутентификация из локальной БД, а не с Radius. Привязывать Имя и
> IP, а дальше access листами по ip ограничивать доступ. Проблема как
> раз в том, что в основном мы имели дело с маршрутизаторами
> и не знаем, что будет в случае ASA.
> Easy vpn не подходит, потому что на клиентской стороне ожидается тот еще
> огород и требуется автоматическое подключение.
Есть такое свойство у ASA можно привязать к логину пользователя и ip и ACL и много много чего еще)так что не переживайте.