Vấn đề split tunneling khi dùng vpn client kết nối vào vpn server
vấn đề split tunneling
Split tunneling là quá trình gửi một vài traffic trên một tunnel và một vài traffic ở dạng clear text. Trong mô hình dùng remote access Ipsec VPN, việc sử dụng split tunneling là một chính sách được định nghĩa trên vpn gateway và sau đó áp đặt (push) xuống client. Trong cách hiện thực của cisco, mặc định split tunneling là tắt trong gateway. Vì vậy, khi Ipsec tunnel đã up giữa client và gateway, tất cả các traffic gửi từ client sẽ chui vào tunnel. Không có tuỳ chọn nào trên client cho phép thay đổi tình trạng này. Do đó, ta phải kiểm soát traffic nào sẽ được bảo vệ (đi vào tunnel).
Trong cisco, có hai loại lưu lượng là ngoại lệ đối với chính sách này:
Arp: các client nếu dùng cổng Ethernet có thể học địa chỉ mac của thiết bị ở phía ISP.
Dhcp: các client có thể xin địa chỉ thường là từ isp và sẽ renew khi địa chỉ hết hiệu lục.
cấu hình trên server lúc này như sau:
Nếu bạn dùng local authorization trong câu lệnh aaa authorization, bạn phải định nghĩa các nhóm (group) một cách cục bộ trên router. Dùng đoạn cấu hình dưới đây để định nghĩa một nhóm Easy VPN server cho các người dùng:
Lệnh acl cho phép ta chỉ ra nhiều cấu hình split tunneling phức tạp hơn. Với cấu hình này, bạn tham chiếu đến nhiều dạng acl như named, number. Các acl sẽ chỉ ra những lưu lượng nào sẽ được bảo vệ. Lệnh deny sẽ chỉ ra các lưu lượng gửi ở dạng clear text bởi client.
Chú ý rằng khi thiết lập ACL để chỉ ra split tunneliing, địa chỉ nguồn trong ACL là địa chỉ mà client được cấp và địa chỉ đích là địa chỉ của chính client.
vấn đề split tunneling
Split tunneling là quá trình gửi một vài traffic trên một tunnel và một vài traffic ở dạng clear text. Trong mô hình dùng remote access Ipsec VPN, việc sử dụng split tunneling là một chính sách được định nghĩa trên vpn gateway và sau đó áp đặt (push) xuống client. Trong cách hiện thực của cisco, mặc định split tunneling là tắt trong gateway. Vì vậy, khi Ipsec tunnel đã up giữa client và gateway, tất cả các traffic gửi từ client sẽ chui vào tunnel. Không có tuỳ chọn nào trên client cho phép thay đổi tình trạng này. Do đó, ta phải kiểm soát traffic nào sẽ được bảo vệ (đi vào tunnel).
Trong cisco, có hai loại lưu lượng là ngoại lệ đối với chính sách này:
Arp: các client nếu dùng cổng Ethernet có thể học địa chỉ mac của thiết bị ở phía ISP.
Dhcp: các client có thể xin địa chỉ thường là từ isp và sẽ renew khi địa chỉ hết hiệu lục.
cấu hình trên server lúc này như sau:
Nếu bạn dùng local authorization trong câu lệnh aaa authorization, bạn phải định nghĩa các nhóm (group) một cách cục bộ trên router. Dùng đoạn cấu hình dưới đây để định nghĩa một nhóm Easy VPN server cho các người dùng:
Code:
[I]Router(config)# ip local pool pool_name first_IP_address last_IP_address Router(config)# crypto isakmp client configuration address-pool local pool_name Router(config)# crypto isamkp client configuration group {group_name | default} Router(config-isakmp-group)# key pre_shared_key Router(config-isakmp-group)# pool pool_name Router(config-isakmp-group)# domain domain_name Router(config-isakmp-group)# dns 1st_DNS_server [2nd_DNS_server] Router(config-isakmp-group)# split-dns domain_name Router(config-isakmp-group)# wins 1st_WINS_server [2nd_WINS_server] Router(config-isakmp-group)# include-local-lan Router(config-isakmp-group)# acl ACL_name_or_# Router(config-isakmp-group)# firewall are-u-there Router(config-isakmp-group)# backup-gateway {IP_address | hostname} Router(config-isakmp-group)# save-password Router(config-isakmp-group)# pfs Router(config-isakmp-group)# max-logins #_of_simultaneous_logins Router(config-isakmp-group)# max-users #_of_users Router(config-isakmp-group)# access-restrict interface_name Router(config-isakmp-group)# group-lock Router(config-isakmp-group)# exit[/I]
Code:
[I]Router(config)# ip access-list extended splitengineering Router(config-ext-nacl)# remark Protect this traffic Router(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 any Router(config-ext-nacl)# remark Send all other traffic in clear-text Router(config-ext-nacl)# deny ip any any[/I]