アクセスリストについて
Posted: Fri Jun 22, 2018 9:54 am
基本的な質問で恐縮です。
アクセスリストの動作について確認を行っているのですが、どうもうまく動作していません。
設定についてアドバイスいただければと思います。
-構成-
・L2TP/IPSecで、ユーザはVLANに所属し仮想HUB経由で上位ゲートウェイからインターネットに向かいます
・クライアントIP:192.168.120.10
・フィルタ対象IP:172.16.10.100(ホスト)※上位ゲートウェイの外側にあります。
・クライアント(VPNユーザ)から、フィルタ対象IPへのIP通信を拒否したい
-設定-
以下の内容でリストを1つ設定しました。
・動作:破棄
・優先順位:100
・送信元の名前:[未指定]
・宛先の名前:[未指定]
・送信元MACアドレス:すべての送信元に対して適用
・宛先MACアドレス:すべての宛先に対して適用
・送信元IPアドレス:全ての送信元に対して適用
・送信先IPアドレス:172.16.10.100 / 255.255.255.255
・プロトコルの種類:すべてのIPv4/IPv6プロトコル
保存を行っても、依然通信ができる状態です。(宛先サーバにPing確認で行いました)
試しに、送信先IPアドレス指定を「すべての送信先に対して適用」にするとPingが失敗するようになるので
制御が効いているように見えます。そのため、単純に設定の仕方だと思っています。
宛先を「172.16.10.0/255.255.255.0」や、送信元を「192.168.120.0/24」にするなども試してみましたが
どれも通信がフィルタされませんでした。
他に考えられる設定はありますでしょうか?
なお、仮想HUBの設定として関係あるか不明ですが以下の設定をしています。
・「仮想HUB拡張オプションの編集」の”AssignVLanIdByRadiusAttribute”を0->1に変更
・「仮想HUB拡張オプションの編集」の”NoMacAddressLog”を1−>0に変更
よろしくお願いいたします。
アクセスリストの動作について確認を行っているのですが、どうもうまく動作していません。
設定についてアドバイスいただければと思います。
-構成-
・L2TP/IPSecで、ユーザはVLANに所属し仮想HUB経由で上位ゲートウェイからインターネットに向かいます
・クライアントIP:192.168.120.10
・フィルタ対象IP:172.16.10.100(ホスト)※上位ゲートウェイの外側にあります。
・クライアント(VPNユーザ)から、フィルタ対象IPへのIP通信を拒否したい
-設定-
以下の内容でリストを1つ設定しました。
・動作:破棄
・優先順位:100
・送信元の名前:[未指定]
・宛先の名前:[未指定]
・送信元MACアドレス:すべての送信元に対して適用
・宛先MACアドレス:すべての宛先に対して適用
・送信元IPアドレス:全ての送信元に対して適用
・送信先IPアドレス:172.16.10.100 / 255.255.255.255
・プロトコルの種類:すべてのIPv4/IPv6プロトコル
保存を行っても、依然通信ができる状態です。(宛先サーバにPing確認で行いました)
試しに、送信先IPアドレス指定を「すべての送信先に対して適用」にするとPingが失敗するようになるので
制御が効いているように見えます。そのため、単純に設定の仕方だと思っています。
宛先を「172.16.10.0/255.255.255.0」や、送信元を「192.168.120.0/24」にするなども試してみましたが
どれも通信がフィルタされませんでした。
他に考えられる設定はありますでしょうか?
なお、仮想HUBの設定として関係あるか不明ですが以下の設定をしています。
・「仮想HUB拡張オプションの編集」の”AssignVLanIdByRadiusAttribute”を0->1に変更
・「仮想HUB拡張オプションの編集」の”NoMacAddressLog”を1−>0に変更
よろしくお願いいたします。