firewall + vpn

[gumeniuc]

Добрый день,

схема следующая:
192.168.25.0/24<--->(.1)BSD_router----------Cisco_router(.1)<--->10.10.10.0/24
между рутерами site-to-site vpn.

Cisco#telnet 192.168.25.1 22 /source-interface ethernet 0/1
Trying 192.168.25.1, 22 ... Open
SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308

при этом на внутреннем интерфейсе tcpdump не показывает трафика на 22 порт.

вопрос: как заблокировать доступ к внутреннему интерфейсу рутера (192.168.25.1) из подсети 10.10.10.0/24 ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vintovkin]

ACL?

[gumeniuc]

Надо блокировать именно со стороны BSD

[vintovkin]

Надо блокировать именно со стороны BSD

я в ipsec не силён, но в класическом варианте можно и outbound traffic тоже фильтровать с циски,
у вас же source ip со стороны циски?

sh run

покажите.

[gumeniuc]

Со стороны циски я могу контролировать через access group, могу encryption domain менять - тут всё ясно.
Дело в том, что ВПН с другой конторой, доступа к их циске нет. Хочется самостоятельно контролировать доступ на своей стороне, а не верить наслово.