Troubleshooting de las Listas de acceso sobre Virtual Private Network en el Routers RV016, RV042, RV042G y RV082 VPN
Objetivos
Una lista de control de acceso (ACL) es una colección de permiso y niega las condiciones. Un ACL especifica qué procesos del usuario o del sistema se conceden el acceso a los recursos específicos. Un ACL puede bloquear cualquier tentativa injustificable de alcanzar a los recursos de red. El problema en esta situación puede presentarse cuando usted tiene ACL configurados en ambo el Routers pero uno del Routers no puede distinguir entre las listas permitidas y negadas de tráfico permitidas por el ACL. Zenmap que es una herramienta de origen abierto usada para marcar el tipo de filtros de paquete/de active de los Firewall se utiliza para probar la configuración.
Este artículo explica cómo resolver problemas los ACL permitidos que no trabajan sobre el Gateway al Gateway VPN entre dos Routers VPN.
Dispositivos aplicables
• RV016
• RV042
• RV042G
• RV082
Versión del software
• v4.2.2.08
ACL sobre la configuración VPN
Paso 1. Inicie sesión a la utilidad de configuración de la red y elija el Firewall > las reglas de acceso. La página de la regla de acceso se abre:
Nota: Las reglas de acceso predeterminadas no pueden ser editadas. Las reglas de acceso mencionadas en la imagen sobre la cual está el usuario configurado se pueden editar por el proceso siguiente.
Paso 2. Haga clic el botón Add para agregar una nueva regla de acceso. La página de las reglas de acceso cambia para mostrar los servicios y las áreas del Scheduling. La adición de una regla de acceso se explica en los pasos siguientes.
Paso 3. Elija niegan de la lista desplegable de la acción para negar el servicio.
Paso 4. Elija el servicio solicitado que se aplica a la regla de la lista desplegable del servicio.
Paso 5. (opcional) para agregar un servicio que no está presente en la lista desplegable del servicio, Administración del servicio del tecleo. En Administración del servicio, un servicio se puede crear según las necesidades. Después de que se cree un servicio, haga clic la AUTORIZACIÓN para salvar las configuraciones.
Paso 6. Elija los paquetes del registro que hacen juego esta regla de la lista desplegable del registro para solamente los registros que hacen juego o no la registran para los registros que no hacen juego la regla de acceso.
Paso 7. Elija un tipo de interfaz de la lista desplegable de la interfaz de origen que es la fuente para las reglas de acceso. Las opciones disponibles son:
• LAN — Elija el LAN si la interfaz de origen es la red de área local.
• WAN — Elija WAN si la interfaz de origen es el ISP.
• DMZ — Elija el DMZ si la interfaz de origen es la zona desmilitarizada.
• NINGUNOS — Elija NINGUNOS para hacer la interfaz de origen como interfaces antedichas unas de los.
Paso 8. De la lista desplegable IP de la fuente, elija a la dirección de origen deseada que se aplica a la regla de acceso. Las opciones disponibles son:
• Solo — Elija solo si es un solo IP Address y ingrese el IP Address.
• Rango — Elija el rango si es un rango de los IP Addresses y ingrese el primer y dure el IP Address en el rango.
• NINGUNOS — Elija NINGUNOS para aplicar las reglas a todas las dirección IP de origen.
Paso 9. De la lista desplegable del IP de destino, elija el direccionamiento de destino deseado que se aplica a la regla de acceso. Las opciones disponibles son:
• Solo — Elija solo si es un solo IP Address y ingrese el IP Address.
• Rango — Elija el rango si es un rango del IP Address y ingrese el primer y dure el IP Address en el rango.
• NINGUNOS — Elija NINGUNOS para aplicar las reglas a todos los IP Address de destino.
Paso 10. Elija un método para definir cuando las reglas son activas de la lista desplegable del tiempo. Las fallas son las siguientes:
• Siempre — Si usted elige siempre del menú desplegable del tiempo, las reglas de acceso serán aplicadas siempre para traficar.
• Intervalo — Usted puede elegir un intervalo de tiempo específico en el cual las reglas de acceso sean activas si usted selecciona el intervalo del menú desplegable del tiempo. Después de que usted especifique el intervalo de tiempo, marque las casillas de verificación de los días en que usted quiere las reglas de acceso para ser activo del eficaz en el campo.
Paso 11 Salvaguardia del tecleo para salvar sus configuraciones.
Paso 12. Relance los pasos 2 a 10 con los campos que corresponden con a ése mostrado en la imagen respectivamente. Las reglas de acceso según el cliente se aplican aquí. Los primeros 7 están permitiendo algunos servicios; el 8vo niega el resto del tráfico. Esta configuración se hace en el segundo router también. Se permite el puerto 500 del IPSec.
Nota: Haga esto para que ambo el Routers verifique que las reglas de acceso están configuradas según lo deseado.
VPN Router # 1
VPN Router # 2
Paso 13. Instale Zenmap(NMAP) de http://nmap.org/download.html y inicielo en un PC en 192.168.2.0 LAN.
Nota: Éste es el LAN detrás del router con los siete ACL adicionales. El IP de la blanco (192.168.1.101) es un PC en el gateway remoto LAN.
Paso 14. Seleccione la exploración rápida del perfil y haga clic en la exploración. Con esto podemos conocer los puertos abiertos y filtrado según los ACL, el resultado mostrado se representa en la imagen arriba. La salida muestra que estos puertos son cerrados, sin importar los ACL permitidos que son configurados en RV0xx # 1. Si intentamos marcar los puertos al IP LAN (192.168.1.1) del gateway remoto – descubrimos que los puertos 80 y 443 están abiertos (que fueron cerrados al PC 192.168.1.101).
El ACL se realiza correctamente después de que el retiro del 7mo negara el ACL y los trabajos muy bien como podemos ver de la salida.
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)