Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Cisco ASA 55x0 Remote Access VPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Gremlin75

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сразу прошу не отсылать на сценарии с cisco.com, уже все перешурудил.
Кто настраивал - помогите разобраться пожалуйста.
В общем схема классическая и думаю простая, но победить я ее не могу.
Сразу скажу, что в cisco далеко не гуру.
 
Имеется Cisco 5510 (тот же PIX, только чуть новее), подключенная к инету по ppoe, через интерфейс outside.
Локальная сеть 192.168.10.0 255.255.255.0 за интерфейсом inside
Сеть dmz 192.168.11.0 255.255.255.0 за интерфейсом dmz
 
Натроил через Easy VPN wizard подклчение (через терминал тоже настраивал)(http://www.cisco.com/en/US/products/ps6120/products_getting_started_guide_chapter09186a00805e2927.html), коннект происходит (cisco vpn client), но не видно ни внутренней сетки, ни dmz, ни клиента vpn не видно никоткуда. Даже с фаервола он не пингуется. Адреса для vpn клиентов раздаются в диапозоне 192.168.15.10-192.168.15.60 255.255.255.0.
Пытался разрешать в ACL любой трафик, создавать трансляцию из сетки 192.168.15.0. Ничего не помогает. Я понимаю, может кому-то и смешно будет, но прошу просветить и помочь.
 
В общем возникает несколько доп. вопросов для понимания процесса:
1. Какие ACL нужно прописывать и к каким интерфейсам, что бы например к FTP дать доступ VPN клиенту, а еще лучше полный доступ к определенному компу из сети FMZ.
Еще надо что бы у пользователей внутернеей сети 192.168.10.0 был полный доступ к vpn клиентам - и на виндовские шары и на удаленный рабочий стол.
 
2. Может нужно создавать какие-то дополнительные туннели, трансляции или маршруты?
 
В общем очень надеюсь на помощь. Если кто-то знает где взять подробный хелп или сценарий по vpn с подобным случаем (в djvu книжке по pix-u очень мало написано) буду очень признателен.
 
Всего записей: 25 | Зарегистр. 02-03-2006 | Отправлено: 06:51 07-02-2007
Levin999

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gremlin75
неужели никто ничего не можнет посоветовать?
 
меня тоже этот вопрос очень интересует
если ты все таки что то по этому вопросу нашел, если не трудно пришли мне на мыло
gulin2[эт]bk.ru
Всего записей: 24 | Зарегистр. 17-05-2007 | Отправлено: 17:04 17-05-2007
Raredemon



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Levin999
что тут можно посоветовать? покажи конф будем разбираться.

----------
Designed for Windows XP.
Powered by Gentoo!
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси....
Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 10:26 18-05-2007
Levin999

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Raredemon
спасибо что откликнулся.
 
давайте попробуем:
 
ASA5510
есть dmz     192.168.6.0/24
 
есть remote VPN  
 
необходимо что бы весть трафик с удаленной машины шел через VPN и при необходимости выхода в интернет, тоже через VPN и потом в Outside.
 
сейчас конфигурация такая  
 
access-list DMZ_nat0_outbound extended permit ip 192.168.6.0 255.255.255.0 192.168.6.10 255.255.255.254  
 
nat (DMZ) 0 access-list DMZ_nat0_outbound
 
access-list UA-IX_splitTunnelAcl standard permit 192.168.6.0 255.255.255.0  
 
group-policy UA-IX internal
group-policy UA-IX attributes
 dns-server value 10.10.10.10
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value UA-IX_splitTunnelAcl  
 
в сеть DMZ попасть можно. а в Outside - нет.  
 
пробовал на удаленной машине прописывать маршрут руками со шлюзом для сети DMZ - все равно нисего не получилось.
   
что делаю не так?
 
Всего записей: 24 | Зарегистр. 17-05-2007 | Отправлено: 14:16 18-05-2007
Raredemon



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Levin999
у тебя как я понял включен сплит-туннелинг, и указана одна сетка куда надо идти через впн. выключи сплит-туннелинг и клиент будет получать маршрут на все сети через впн. т.е. сплит-туннелинг позволяет для клиента включать в информацию о подключении список сетей для которых впн-адаптер клиента получит маршрут через впн, а все остальные сетки пойдут через дефолт мимо впн.

----------
Designed for Windows XP.
Powered by Gentoo!
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси....
Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 08:41 21-05-2007
Levin999

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Raredemon
хорошо! попробую.
 
посмотрим что из этого выйдет
Всего записей: 24 | Зарегистр. 17-05-2007 | Отправлено: 10:07 21-05-2007
Levin999

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
убрал  split-tunneling.
все маршруты на удаленной машине действительно теперь направлены в тунель.
 
 
но выйти в интернет все равно не получилось
 
также я прописал трансляцию из DMZ в Outside  
static (DMZ,outside) 195.145.214.60 192.168.6.10 netmask 255.255.255.255  
 
195.145.214.60  - IP под которым выходим в Инет  
 
в логах вот что есть:
 
192.168.6.10 - это адрес удаленной машины на которой VPN client  
63.80.187.207 - это адрес куда я ломлюсь с удаленной машины
195.30.163.5  - это DNS прописанный в Group policy
192.168.6.1 - это интерфейс ASA в DMZ  
 
 
 
6|May 22 2007 21:43:18|302014: Teardown TCP connection 15122011 for outside:192.168.6.10/2189 to outside:63.80.187.207/3129 duration 0:00:30 bytes 0 SYN Timeout  
4|May 22 2007 21:43:10|419002: Duplicate TCP SYN from outside:192.168.6.10/2189 to outside:63.80.187.207/3129 with different initial sequence number
6|May 22 2007 21:43:09|302016: Teardown UDP connection 15121906 for outside:192.168.6.10/137 to NP Identity Ifc:192.168.6.255/137 duration 0:02:52 bytes 2598  
4|May 22 2007 21:43:04|419002: Duplicate TCP SYN from outside:192.168.6.10/2189 to outside:63.80.187.207/3129 with different initial sequence number
6|May 22 2007 21:43:01|302016: Teardown UDP connection 15121930 for outside:192.168.6.10/2187 to outside:195.30.163.5/53 duration 0:02:02 bytes 120  
4|May 22 2007 21:43:01|419002: Duplicate TCP SYN from outside:192.168.6.10/2189 to outside:63.80.187.207/3129 with different initial sequence number
 
 
6|May 22 2007 21:41:13|302013: Built inbound TCP connection 15121944 for outside:192.168.6.10/2189 (192.168.6.10/2189) to outside:63.80.187.207/3129 (63.80.187.207/3129)  
6|May 22 2007 21:40:59|302015: Built inbound UDP connection 15121930 for outside:192.168.6.10/2187 (192.168.6.10/2187) to outside:195.30.163.5/53 (195.30.163.5/53)  
 
6|May 22 2007 21:40:40|302013: Built inbound TCP connection 15121921 for outside:192.168.6.10/2185 (192.168.6.10/2185) to NP Identity Ifc:192.168.6.1/22 (192.168.6.1/22)  
6|May 22 2007 21:40:40|302014: Teardown TCP connection 15121919 for outside:192.168.6.10/2185 to NP Identity Ifc:192.168.6.1/22 duration 0:00:00 bytes 0 Flow terminated by TCP Intercept  
 
 
 
наверное тут какая то коллизия. может ли вообще оно так работать?
я коннекчусь к Outside, получаю IP из DMZ(туннель Outside-DMZ)  и снова хочу выйти в Outside, но уже в открытый!
 
не знаю, у меня пока никаких идей что еще можно сделать нет
Всего записей: 24 | Зарегистр. 17-05-2007 | Отправлено: 14:51 23-05-2007
Raredemon



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Levin999
ну тогда бог в помощь http://faq-cisco.ru/page.php?al=alias9653

----------
Designed for Windows XP.
Powered by Gentoo!
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси....
Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 08:23 24-05-2007
Levin999

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Raredemon
так спасибо!!!!
 
то что надо! можно было сразу дать эту ссылку
Всего записей: 24 | Зарегистр. 17-05-2007 | Отправлено: 19:02 24-05-2007
Levin999

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
типа заработало!!!
на подсказки посмотрел - помогло
 
моя ошибка была в том что NAT я прописал не правильно.
я транслировал из DMZ в Outside, a надо из Outside в Outside.  
Всего записей: 24 | Зарегистр. 17-05-2007 | Отправлено: 18:59 25-05-2007
Raredemon



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Levin999

Цитата:
то что надо! можно было сразу дать эту ссылку

я ее потом только нашел
Цитата:
я транслировал из DMZ в Outside, a надо из Outside в Outside.  

ну да тоже верно, мдя.. подзабыл я курс по пиксам

----------
Designed for Windows XP.
Powered by Gentoo!
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси....
Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 22:28 25-05-2007
DanCap

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет!
А возможно ли с помощью двух Cisco ASA 55x0 соеденить две однаранговые сети (192.168.0.* и 192.168.0.*), в данный момент сейчас все реализовано через два SHDSL модема. Заранее спасибо!!!
Всего записей: 85 | Зарегистр. 13-05-2005 | Отправлено: 20:35 25-10-2007
Raredemon



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
DanCap

Цитата:
соеденить две однаранговые сети (192.168.0.* и 192.168.0.*),  

Да можно, поднять тунель на асашках, но надо будет что-то делать с адресами. либо нат (тогда я не понимаю как ты их маршрутизировать будешь), а более правильно в одной сети сменить адресацию.

----------
Designed for Windows XP.
Powered by Gentoo!
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси....
Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 08:36 26-10-2007
DanCap

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Raredemon
Спасибо!
а еще один вопрос в одной сети у меня прокси для интернета, если я в другой сменю адресацию (пример 192.168.10.*, то интернет им будет доступен ?? или надо будет разрулит каким то образом?
Всего записей: 85 | Зарегистр. 13-05-2005 | Отправлено: 12:51 26-10-2007
Raredemon



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
DanCap

Цитата:
то интернет им будет доступен ?? или надо будет разрулит каким то образом?

Смотря что за прокси и как они настроены.

----------
Designed for Windows XP.
Powered by Gentoo!
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси....
Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 13:53 26-10-2007
DanCap

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Raredemon
прокси UG стоит работает без нат  
Всего записей: 85 | Зарегистр. 13-05-2005 | Отправлено: 17:47 26-10-2007
lst

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день! Не получается настроить remote VPN на Asa 5520
вот кусок конфига отвечающий за vpn:
 
access-list vpn_remote_split_tunnel standard permit 172.22.244.0 255.255.255.0  
access-list no_nat_inside_to_vpn extended permit ip 172.22.244.0 255.255.255.0 172.22.242.0 255.255.255.0  
access-list vpn_remote extended permit ip any 172.22.242.0 255.255.255.0  
ip local pool VPNPOOL 172.22.242.2-172.22.242.253 mask 255.255.255.0
nat (inside) 0 access-list no_nat_inside_to_vpn
crypto ipsec transform-set TRANS-3DES-SHA esp-3des esp-sha-hmac  
crypto ipsec transform-set TRANS-3DES-SHA mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map DYN_MAP 10 set transform-set TRANS-3DES-SHA
crypto map OUTSIDE_MAP 10 ipsec-isakmp dynamic DYN_MAP
crypto map OUTSIDE_MAP interface inside
crypto isakmp enable inside
crypto isakmp policy 20
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
group-policy VPN_POLICY internal
group-policy VPN_POLICY attributes
 dns-server value 172.22.244.3
 vpn-tunnel-protocol IPSec l2tp-ipsec  
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value vpn_remote_split_tunnel
 split-dns value 172.22.244.3  
username 1231 password 123 nt-encrypted
username 1231 attributes
 vpn-group-policy VPN_POLICY
tunnel-group VPN_GROUP type remote-access
tunnel-group VPN_GROUP general-attributes
 address-pool VPNPOOL
 default-group-policy VPN_POLICY
tunnel-group VPN_GROUP ipsec-attributes
 pre-shared-key *****
 
 
При попытке поключения к инсайд интерфейсу в логе строка  
%ASA-7-710005: UDP request discarded from 172.22.244.75/1701 to inside:172.22.244.4/1701
Если подвесить крипто искмп и крипто мап на аутсайд
172.22.244.4 %ASA-7-713906: IP = *, Received isakmp packet with unsupported major version (2)
Всего записей: 2 | Зарегистр. 20-05-2009 | Отправлено: 16:10 26-07-2010 | Исправлено: lst, 18:57 26-07-2010
Memo



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не пойму в чем дело... ASA-5510, установлено свежее ПО: asa915-21-k8 и asdm-732-102. Хочу запустить AnyConnect, но ни в ASDM, ни в CLI нет ничего близкого: в ASDM отсутствует AnyConnect VPN Wizard, а при конфигурации вручную нет команды webvpn. В чем может быть дело? Можно ли в ASA-5510 настроить AnyConnect, или принципиально нельзя?
 
Может ли это быть из-за того, что ASA работает в контекстном режиме (multiple context mode), а не в одиночном (single mode)?
Всего записей: 114 | Зарегистр. 27-08-2002 | Отправлено: 02:28 26-02-2015 | Исправлено: Memo, 12:09 26-02-2015
terasto



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Memo
Ныне термин WebVPN звучит, как SSL VPN. Ваше предположение верно - аса в режиме Multiple Mode не поддерживает SSL VPN, возможна реализация только IPsec site-to-site VPN (начиная с версии 9.0(1)).
Всего записей: 210 | Зарегистр. 25-08-2010 | Отправлено: 17:40 26-02-2015
nameraj

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите решение как включить netbios для vpn клиентов?
Используется ASAv 931
клиенты подключаются по anyconnect - SSL вариант
 
полагаю необходимо добавить сервис netbios в acl_сеть которую тунелирует Аса (в моей случае acl_internals)
но не понятно как это сделать грамотно - в документации по netbios ничего не сказано
 
 

Код:
secure# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list external_access_in; 1 elements; name hash: 0x8263c4f
access-list external_access_in line 1 extended permit ip any any (hitcnt=13333) 0x4b2ee777
access-list internals_access_in; 1 elements; name hash: 0x4ea29ce4
access-list internals_access_in line 1 extended permit ip any any (hitcnt=94491) 0x96599f61
access-list acl_internals; 1 elements; name hash: 0x793f4ea
access-list acl_internals line 1 standard permit 192.168.0.0 255.255.0.0 (hitcnt=12807) 0x994f012f

 
Всего записей: 12 | Зарегистр. 22-02-2015 | Отправлено: 11:32 19-03-2015 | Исправлено: nameraj, 11:34 19-03-2015
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Cisco ASA 55x0 Remote Access VPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru