forum.opennet.ru - "Проброс VPN черех ASA 5512" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Проброс VPN черех ASA 5512"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Проброс VPN черех ASA 5512"	+/–
Сообщение от RPaha (ok) on 02-Фев-14, 00:32
Добрый день! Привезли мне новенькую ASA 5512, есть моменты которые пока не совсем понятны. Прошу помощи. Пытаюсь настроить проброс VPN через асу на MS ISA. Знаю, конечно, что при наличии асы ВПН лучше делать на ней же, но пока не разберусь окончательно с тонкостями настройки пусть будет по старому. Итак, сделал следующее: (192.168.5.41 - адрес MS ISA) object network 192.168.5.41-udp-500 host 192.168.5.41 object network 192.168.5.41-udp-4500 host 192.168.5.41 object network 192.168.5.41-tcp-1721 host 192.168.5.41 object network 192.168.5.41-tcp-1723 host 192.168.5.41 access-list outside_access_in extended permit udp any object 192.168.5.41-udp-500 eq isakmp access-list outside_access_in extended permit udp any object 192.168.5.41-udp-4500 eq 4500 access-list outside_access_in extended permit tcp any object 192.168.5.41-tcp-1721 eq 1721 access-list outside_access_in extended permit tcp any object 192.168.5.41-tcp-1723 eq pptp object network 192.168.5.41-udp-500 nat (inside,outside) static interface service udp isakmp isakmp object network 192.168.5.41-udp-4500 nat (inside,outside) static interface service udp 4500 4500 object network 192.168.5.41-tcp-1721 nat (inside,outside) static interface service tcp 1721 1721 object network 192.168.5.41-tcp-1723 nat (inside,outside) static interface service tcp 1723 1723 Результат таков: соединение ВПН не проходит. Подвисает на этапе проверки логина и пароля. Что я сделал не так?
Ответить \| Правка \| Cообщить модератору

Оглавление

Проброс VPN черех ASA 5512, spiegel, 17:13 , 02-Фев-14, (1)

Проброс VPN черех ASA 5512, RPaha, 15:54 , 03-Фев-14, (2)

Проброс VPN черех ASA 5512, McLeod095, 19:03 , 03-Фев-14, (3)

Проброс VPN черех ASA 5512, RPaha, 15:46 , 04-Фев-14, (4)

Проброс VPN черех ASA 5512, alecx_, 15:11 , 13-Фев-14, (5)

Проброс VPN черех ASA 5512, crash, 20:15 , 13-Фев-14, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Проброс VPN черех ASA 5512" +/–

Сообщение от spiegel (ok) on 02-Фев-14, 17:13

>[оверквотинг удален]
>  nat (inside,outside) static interface service udp isakmp isakmp
> object network 192.168.5.41-udp-4500
>  nat (inside,outside) static interface service udp 4500 4500
> object network 192.168.5.41-tcp-1721
>  nat (inside,outside) static interface service tcp 1721 1721
> object network 192.168.5.41-tcp-1723
>  nat (inside,outside) static interface service tcp 1723 1723
> Результат таков: соединение ВПН не проходит. Подвисает на этапе проверки логина и
> пароля.
> Что я сделал не так?
Навскидку не хватает аналогичного access-list на входе:

access-list inside_access_in extended permit udp host 192.168.5.41 any eq isakmp
access-list inside_access_in permit udp host 192.168.5.41 any eq 4500
access-list inside_access_in permit esp host 192.168.5.41 any
...
и самое главное, активировать их на интерфейсах:
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проброс VPN черех ASA 5512" +/–

Сообщение от RPaha (ok) on 03-Фев-14, 15:54

>[оверквотинг удален]
>> пароля.
>> Что я сделал не так?
> Навскидку не хватает аналогичного access-list на входе:
> access-list inside_access_in extended permit udp host 192.168.5.41 any eq isakmp
> access-list inside_access_in permit udp host 192.168.5.41 any eq 4500
> access-list inside_access_in permit esp host 192.168.5.41 any
> ...
> и самое главное, активировать их на интерфейсах:
> access-group inside_access_in in interface inside
> access-group outside_access_in in interface outside
Большое спасибо за ответ!
Но, к сожалению, Ваш совет не помог - также подвисает на этапе аутентификации.
Еще заметил, что DNS порты и FTP работают даже без ACL на входе.
Что все-таки может быть?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проброс VPN черех ASA 5512" +/–

Сообщение от McLeod095 (ok) on 03-Фев-14, 19:03

>[оверквотинг удален]
>> ...
>> и самое главное, активировать их на интерфейсах:
>> access-group inside_access_in in interface inside
>> access-group outside_access_in in interface outside
> Большое спасибо за ответ!
> Но, к сожалению, Ваш совет не помог - также подвисает на этапе
> аутентификации.
> Еще заметил, что DNS порты и FTP работают даже без ACL на
> входе.
> Что все-таки может быть?
Давайте весь конфиг
А то получается гадание на кофейной гуще
Ну и кстати, поднять на асе впн для АД пользователей дело 10 минут, я правда тыкался как котенок порядка 2 недель, оказалось все просто. Так что лучше наверное поднять радиус на винде и настроить асу.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проброс VPN черех ASA 5512" +/–

Сообщение от RPaha (ok) on 04-Фев-14, 15:46

>[оверквотинг удален]
>> аутентификации.
>> Еще заметил, что DNS порты и FTP работают даже без ACL на
>> входе.
>> Что все-таки может быть?
> Давайте весь конфиг
> А то получается гадание на кофейной гуще
> Ну и кстати, поднять на асе впн для АД пользователей дело 10
> минут, я правда тыкался как котенок порядка 2 недель, оказалось все
> просто. Так что лучше наверное поднять радиус на винде и настроить
> асу.
Тогда, чтобы мне не тыкаться как котенку две недели, расскажите, пожалуйста, как это сделать.  Буду очень признателен

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Проброс VPN черех ASA 5512" +/–

Сообщение от alecx_ on 13-Фев-14, 15:11

>[оверквотинг удален]
>>> входе.
>>> Что все-таки может быть?
>> Давайте весь конфиг
>> А то получается гадание на кофейной гуще
>> Ну и кстати, поднять на асе впн для АД пользователей дело 10
>> минут, я правда тыкался как котенок порядка 2 недель, оказалось все
>> просто. Так что лучше наверное поднять радиус на винде и настроить
>> асу.
> Тогда, чтобы мне не тыкаться как котенку две недели, расскажите, пожалуйста, как
> это сделать.  Буду очень признателен
Конфиг не полный, так что не понятно что у Вас не так.
В ASA есть классный инструмент для отладки packet-tracer. Прогнав с его помощью пакет туда/сюда можно легко понять где зарыта собака.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Проброс VPN черех ASA 5512" +/–

Сообщение от crash (ok) on 13-Фев-14, 20:15

а вы какой vpn поднимаете? Если pptp, то где вы разрешили gre?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проброс VPN черех ASA 5512"	+/–
Сообщение от spiegel (ok) on 02-Фев-14, 17:13
>[оверквотинг удален] > nat (inside,outside) static interface service udp isakmp isakmp > object network 192.168.5.41-udp-4500 > nat (inside,outside) static interface service udp 4500 4500 > object network 192.168.5.41-tcp-1721 > nat (inside,outside) static interface service tcp 1721 1721 > object network 192.168.5.41-tcp-1723 > nat (inside,outside) static interface service tcp 1723 1723 > Результат таков: соединение ВПН не проходит. Подвисает на этапе проверки логина и > пароля. > Что я сделал не так? Навскидку не хватает аналогичного access-list на входе: access-list inside_access_in extended permit udp host 192.168.5.41 any eq isakmp access-list inside_access_in permit udp host 192.168.5.41 any eq 4500 access-list inside_access_in permit esp host 192.168.5.41 any ... и самое главное, активировать их на интерфейсах: access-group inside_access_in in interface inside access-group outside_access_in in interface outside
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Проброс VPN черех ASA 5512"	+/–
	Сообщение от RPaha (ok) on 03-Фев-14, 15:54
	>[оверквотинг удален] >> пароля. >> Что я сделал не так? > Навскидку не хватает аналогичного access-list на входе: > access-list inside_access_in extended permit udp host 192.168.5.41 any eq isakmp > access-list inside_access_in permit udp host 192.168.5.41 any eq 4500 > access-list inside_access_in permit esp host 192.168.5.41 any > ... > и самое главное, активировать их на интерфейсах: > access-group inside_access_in in interface inside > access-group outside_access_in in interface outside Большое спасибо за ответ! Но, к сожалению, Ваш совет не помог - также подвисает на этапе аутентификации. Еще заметил, что DNS порты и FTP работают даже без ACL на входе. Что все-таки может быть?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Проброс VPN черех ASA 5512"	+/–
	Сообщение от McLeod095 (ok) on 03-Фев-14, 19:03
	>[оверквотинг удален] >> ... >> и самое главное, активировать их на интерфейсах: >> access-group inside_access_in in interface inside >> access-group outside_access_in in interface outside > Большое спасибо за ответ! > Но, к сожалению, Ваш совет не помог - также подвисает на этапе > аутентификации. > Еще заметил, что DNS порты и FTP работают даже без ACL на > входе. > Что все-таки может быть? Давайте весь конфиг А то получается гадание на кофейной гуще Ну и кстати, поднять на асе впн для АД пользователей дело 10 минут, я правда тыкался как котенок порядка 2 недель, оказалось все просто. Так что лучше наверное поднять радиус на винде и настроить асу.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Проброс VPN черех ASA 5512"	+/–
	Сообщение от RPaha (ok) on 04-Фев-14, 15:46
	>[оверквотинг удален] >> аутентификации. >> Еще заметил, что DNS порты и FTP работают даже без ACL на >> входе. >> Что все-таки может быть? > Давайте весь конфиг > А то получается гадание на кофейной гуще > Ну и кстати, поднять на асе впн для АД пользователей дело 10 > минут, я правда тыкался как котенок порядка 2 недель, оказалось все > просто. Так что лучше наверное поднять радиус на винде и настроить > асу. Тогда, чтобы мне не тыкаться как котенку две недели, расскажите, пожалуйста, как это сделать. Буду очень признателен
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Проброс VPN черех ASA 5512"	+/–
	Сообщение от alecx_ on 13-Фев-14, 15:11
	>[оверквотинг удален] >>> входе. >>> Что все-таки может быть? >> Давайте весь конфиг >> А то получается гадание на кофейной гуще >> Ну и кстати, поднять на асе впн для АД пользователей дело 10 >> минут, я правда тыкался как котенок порядка 2 недель, оказалось все >> просто. Так что лучше наверное поднять радиус на винде и настроить >> асу. > Тогда, чтобы мне не тыкаться как котенку две недели, расскажите, пожалуйста, как > это сделать. Буду очень признателен Конфиг не полный, так что не понятно что у Вас не так. В ASA есть классный инструмент для отладки packet-tracer. Прогнав с его помощью пакет туда/сюда можно легко понять где зарыта собака.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

6. "Проброс VPN черех ASA 5512"	+/–
Сообщение от crash (ok) on 13-Фев-14, 20:15
а вы какой vpn поднимаете? Если pptp, то где вы разрешили gre?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору