C841M 外出先よりL2TP over IPsec時に、特定LAN側機器へのアクセスを接続端末ごとに制限したい

kei10omo · ‎2021-07-17

C841M に外出先よりL2TP over IPsec接続した場合に

C841ＭのLAN側機器「Cisco Aironet 1815i(WEB画面://192.168.91.240、telnet 192.168.91.240)」の管理画面に

情報担当社員はアクセスできて、一般社員は管理画面にアクセスできないようにしたいのですが

以下のような設定は可能でしょうか？　他に設定方法はありますでしょうか？

また、同時にL2TP over IPsec接続できる端末は何台まででしょうか？

※L2TP over IPsec接続までは設定済です。

　GE0/8にて、CATV(DHCP)インターネットに接続

　1）L2TP over IPsec接続にIPアドレスの固定配布してACLにてアクセス制限する。

　　管理社員：1.1.1.1～1.1.1.5

　　一般社員：1.1.1.6～1.1.1.10

　2) L2TP over IPsec接続の「ID・Password」を配布するIPアドレスを紐づけしてACLにて制限する。

Akira Muranaka · ‎2021-08-05

私の勉強不足かもしれないのですが、L2TP over IPsecは簡易的なリモートアクセスVPN機能の提供のみであり、高度な制御は難しかった記憶です。高度なアクセス制御を行いたい場合は、AnyConnectやASA/FTDなど専用製品の利用を、シスコさんは推奨されてたはずです。

そのため、高度な制御をおこないたい場合は、Cisco DESIGNEDの Firepower (ASA) ＋ AnyConnect の利用を検討して頂くと如何でしょうか。Firepower (ASA) + AnyConnect の場合は、ご検討頂いているような接続端末によるアドレッシング変更や適用ACL(VPN filter)変更などが可能です。
https://www.mikan-netlab.com/entry/asa-config-anyconnect-vpn-filter