Hola, este post nos ayudará a entender la característica Group-Lock y su utilidad.

Supongamos que necesitamos dar acceso a nuestros usuarios a recursos internos de la empresa, pero, estos usuarios pertenecen a diferentes departamentos y por supuesto, no necesitan acceder a TODOS los recursos de la red. Con Group-Lock, podemos hacer esto de una manera fácil. Podemos bloquear usuarios en grupos, de modo que cuando un usuario inicia una conexión VPN, su grupo será vinculado a una lista de acceso. Esta lista de acceso bloqueará el tráfico hacia o desde los recursos necesarios.

A continuación configuraremos esta increíble característica.

Por ejemplo, supongamos que tenemos 2 grupos, ingeniería y ventas. E ingenieria necesita acceso a los servidores 10.0.0.1 y 10.0.0.3 desde nuestra red interna, mientras que ventas solo necesita acceso al servidor 10.0.0.3.

Así que necesitamos 2 listas de acceso para definir este tráfico.

ip access-list extended engineering
   permit ip host 10.0.0.1 any
   permit ip host 10.0.0.3 any
 ip access-list extended sales
   permit ip host 10.0.0.3 any

Ahora debemos configurar 2 grupos vpn y vincularlos a la lista de acceso correcta.

crypto isakmp client configuration group engineering
   key *
   domain domain.local
   pool engineering
   acl engineering
   group-lock
 crypto isakmp client configuration group sales
   key *
   domain domain.local
   pool sales
   acl sales
   group-lock

2 perfiles ISAKMP.

crypto isakmp profile engineering
   match identity group engineering
   client authentication list localauth
   isakmp authorization list localauthor
   client configuration address respond
   virtual-template 1
 crypto isakmp profile sales
   match identity group sales
   client authentication list localauth
   isakmp authorization list localauthor
   client configuration address respond
   virtual-template 2

Y 2 perfiles IPSEC para la Virtual-Template.

crypto ipsec profile engineering
 set transform-set vpn
 set isakmp-profile engineering
 crypto ipsec profile sales
 set transform-set vpn
 set isakmp-profile sales

El resto de la configuración de la VPN es estándar, así que la omitiré. Lo único que tenemos que cuidar es configurar los usuarios con la cadena @ y el nombre del grupo. Si no hacemos esto, los usuarios no configurarán vpn correctamente.

Por ejemplo user1@engineering o user2@sales.

También las interfaces Virtual-Template necesitarán perfiles ipsec según la configuración expuesta. Ahora podemos probar la conexión VPN con un usuario por cada grupo para verificar que la configuración de la lista de acceso es correcta.

Espero que os sirva de ayuda.