Организация доступа к cisco asa 5505 через anyconnect только с разрешенного перечня адресов, как реализовать?

Question

[Arthur Avetisov]

Доброго времени суток.

Имеется cisco asa 5505
ASA ver: 9.0.(1)
ASDM ver:7.0.(1)

Настроен vpn через anyconnect.
Для одного пользователя условно назовем его auditor требуется чтобы он мог подключаться только с перечня разрешенных адресов извне, через anyconnect. Для остальных пользователей к примеру (it, dir) таких ограничений не было.
1 Вариант: Предполагаю что необходимо копать в сторону Dynamic Access Policy или Group Policy.
2 Вариант: Или задать явное ограничение в firewall для типа трафика с указанием 2 правил типа (разрешаем одобренный список, запрещаем все остальное)

Буду признателен за помощь.

Comments

[Arthur Avetisov]

Пока ответов нет, решил проблему следующим образом. Сделал проброс rdp порта в outside, и доступ к нему ограничил через ACL(с списком разрешенных хостов, и блокировать остальные). Остальные пользователи web vpn будут подключаться как и прежде через vpn-к rdp.

Answer 1

[Ars1s]

Зачем так усложнять ?
но если очень надо то лучше использовать несколько IP для входа anyconnect. На один IP вешаете acl для нужных IP для доступа auditor , на другой доступ для it, dir.
ИЛИ
лучше ограничить доступ, через Group Policy со внутренним acl, для разрешенных хостов. То есть, для внешнего подключения разрешаете все подключения. А конкретно к группам доступа (Connection Profile) , привязываете политику с нужными ACL.