У меня есть Cisco ASA, который аутентифицируется через RADIUS / AD. Мне нужно предоставить пользователю доступ к VPN, но я хочу ограничить его доступ только одним хостом. Как лучше всего это сделать?
решение1
Вот что я в итоге сделал:
Создайте новую групповую политику, которая имеет раздельный туннель только с хостом/сетью, к которым я хочу, чтобы пользователь VPN имел доступ. Затем создайте ACL, чтобы разрешить сетевой доступ только к тому, что вам нужно. Примените этот ACL к GP с помощью следующей команды: vpn-filter value (вам нужно применить это, когда вы находитесь в атрибутах GP). Затем создайте новый групповой туннель и привяжите его к новому GP. Теперь вы можете дать этому пользователю новый PCF, и пользователь будет заблокирован для указанного вами хоста/сети.
Я надеялся найти решение, при котором мне не пришлось бы создавать нового пользователя GP, TP и местного ASA, но, полагаю, это сработает.