forum.opennet.ru - "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
Сообщение от AlexeySV (ok) on 14-Ноя-08, 11:31
Сильно не пинайте! Первый раз держу в руках данное железо. Схема такая: внешняя сеть / внутренняя сеть / [PC1: WinXP+Cisco VPN Client]------- ------------[ASA]/--------- --[PC2: WinXP] дин.адрес от пров-ра yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx /10.0.0.144 10.0.0.143 адрес с дин.пула АСЫ 192.168.50.1 / Ситуация такая: PC1 подключается к АСЕ через VPN клиента, получает адрес с динамического пула. Но пакеты не ходят даже на внутренний интерфейс АСЫ (10.0.0.144). Помогите разобраться. Заранее спасибо! ASA Version 8.0(3) ! hostname ASA-VPN-Srv domain-name test.db enable password rgsrgsrgsergsrg encrypted names name 192.168.50.0 RemoteUSER dns-guard ! interface Ethernet0/0 nameif inside security-level 100 ip address 10.0.0.144 255.255.255.0 no igmp ospf cost 10 ! interface Ethernet0/1 description VPN nameif outside security-level 0 ip address xxx.xxx.xxx.xxx no igmp ospf cost 10 ! passwd efsfeesfsefsefsef encrypted boot system disk0:/asa803-k8.bin ftp mode passive clock timezone BDT 6 dns server-group DefaultDNS domain-name test.db access-list inside_access_out extended permit object-group DM_INLINE_PROTOCOL_1 10.0.0.0 255.255.255.0 RemoteUSER 255.255.255.0 access-list outside_nat_static extended permit icmp RemoteUSER 255.255.255.0 10.0.0.0 255.255.255.0 access-list outside_access_in extended permit object-group DM_INLINE_PROTOCOL_2 RemoteUSER 255.255.255.0 10.0.0.0 255.255.255.0 access-list outside_cryptomap_65535.65535 extended permit object-group DM_INLINE_PROTOCOL_5 any any pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 mtu management 1500 ip local pool Remote-IP-POOL 192.168.50.1-192.168.50.50 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 icmp permit any inside icmp permit any outside asdm image disk0:/asdm-603.bin no asdm history enable arp timeout 14400 global (inside) 1 interface static (outside,inside) 10.0.0.0 access-list outside_nat_static access-group inside_access_out out interface inside access-group outside_access_in in interface outside dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL http server enable no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec transform-set TRANS_ESP_3DES_MD5 esp-3des esp-md5-hmac crypto ipsec transform-set TRANS_ESP_3DES_MD5 mode transport crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 match address outside_cryptomap_65535.65535 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-3DES-SHA ESP-3DES-MD5 ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-DES-SHA ESP-DES-MD5 TRANS_ESP_3DES_MD5 crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto map ATM_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside-ATM-INET_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto ca server shutdown issuer-name CN = ASA-VPN-Srv.segment.dn crypto isakmp enable outside crypto isakmp policy 5 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 10 authentication pre-share encryption des hash sha group 2 lifetime 86400 crypto isakmp policy 20 authentication pre-share encryption aes hash sha group 2 lifetime 86400 crypto isakmp policy 30 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 no vpn-addr-assign aaa no vpn-addr-assign dhcp telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics ssl encryption des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 webvpn enable outside group-policy ATM internal group-policy ATM attributes vpn-tunnel-protocol IPSec password-storage enable group-lock value ATM pfs enable address-pools value Remote-IP-POOL username atmuser password jfsdkjfkfsdfs encrypted privilege 0 username atmuser attributes vpn-group-policy ATM tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * tunnel-group DefaultRAGroup ppp-attributes authentication pap authentication ms-chap-v2 authentication eap-proxy tunnel-group ATM type remote-access tunnel-group ATM general-attributes address-pool (outside) Remote-IP-POOL address-pool Remote-IP-POOL default-group-policy ATM tunnel-group ATM ipsec-attributes pre-shared-key *
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), maputa, 12:51 , 14-Ноя-08, (1)

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), AlexeySV, 13:03 , 14-Ноя-08, (2)

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), ash, 13:31 , 14-Ноя-08, (3)

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), AlexeySV, 14:22 , 15-Дек-08, (4)

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), AlexeySV, 08:42 , 16-Дек-08, (5)

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), MIXer, 17:40 , 16-Дек-08, (6)

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), AlexeySV, 08:14 , 17-Дек-08, (7)

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), AlexeySV, 17:39 , 19-Дек-08, (8)

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), decrups, 16:51 , 07-Дек-09, (11)

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), leshka_indi, 15:32 , 07-Янв-09, (9)

VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь), AlexeySV, 10:07 , 19-Янв-09, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от maputa (??) on 14-Ноя-08, 12:51

nat 0 между внутренней сетью и vpn должен помочь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от AlexeySV (ok) on 14-Ноя-08, 13:03

>nat 0 между внутренней сетью и vpn должен помочь
Так вроде как нат уже есть....  :-(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от ash (??) on 14-Ноя-08, 13:31

>>nat 0 между внутренней сетью и vpn должен помочь
>
>Так вроде как нат уже есть....  :-(
Ну тебе сказали об обратном - не натить или NAT 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от AlexeySV (ok) on 15-Дек-08, 14:22

>>>nat 0 между внутренней сетью и vpn должен помочь
>>
>>Так вроде как нат уже есть....  :-(
>
>Ну тебе сказали об обратном - не натить или NA
------------------------------------------------------------------
----------------------------------------------------------------
Немного изменил конфигурацию и добавил NAT0, но при этом ситуация не меняется....  :-(
:
ASA Version 8.0(3)
!
hostname ASA-VPN-Srv
domain-name dkib.db
enable password blablabla encrypted
names
dns-guard
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 10.0.0.144 255.255.255.0
no igmp
ospf cost 10
!
interface Ethernet0/1
description VPN
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.240
no igmp
ospf cost 10
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 0
ip address
no igmp
ospf cost 10
management-only
!
passwd blablabla encrypted
boot system disk0:/asa803-k8.bin
ftp mode passive
clock timezone BDT 6
dns server-group DefaultDNS
domain-name dkib.db
same-security-traffic permit inter-interface
object-group network NET_ATM
network-object 192.168.101.0 255.255.255.0
access-list ACL_outside_IN extended permit icmp any any
access-list ACL_inside_IN extended permit icmp any any
access-list ACL_NO_NAT extended permit ip any object-group NET_ATM
access-list outside_ATM_DYN extended permit ip any object-group NET_ATM
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu management 1500
ip local pool ATM_POOL 192.168.101.2-192.168.101.100 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
asdm image disk0:/asdm-603.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list ACL_NO_NAT
nat (inside) 1 10.0.0.0 255.255.255.0
nat (inside) 0 192.168.101.0 255.255.255.0
access-group ACL_inside_IN in interface inside
access-group ACL_outside_IN in interface outside
route outside 0.0.0.0 0.0.0.0 212.42.101.17 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
eou allow none
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_MD5 mode transport
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set 3DESSHA esp-3des esp-sha-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-3DES-SHA ESP-3DES-MD5 ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-DES-SHA ESP-DES-MD5 TRANS_ESP_3DES_MD5
crypto dynamic-map outside_DYN_MAP 20 match address outside_ATM_DYN
crypto dynamic-map outside_DYN_MAP 20 set transform-set 3DESSHA
crypto dynamic-map outside_DYN_MAP 20 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map management_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map management_map interface management
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside
crypto map outside_MAP 10 ipsec-isakmp dynamic outside_DYN_MAP
crypto map outside_MAP interface outside
crypto ca server
shutdown
issuer-name CN = ASA-VPN-Srv.segment.dn
crypto isakmp enable outside
crypto isakmp enable management
crypto isakmp policy 5
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 20
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto isakmp policy 30
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics
ssl encryption des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
webvpn
enable outside
group-policy ATM-GROUP internal
group-policy ATM-GROUP attributes
dns-server value 10.0.0.2
vpn-simultaneous-logins 1
vpn-tunnel-protocol IPSec
username atmuser password blablabla encrypted privilege 7
username atmuser attributes
vpn-group-policy ATM-GROUP
username Root password UX2/n83rDWe4gM81 encrypted privilege 15
tunnel-group ATM_GROUP type remote-access
tunnel-group ATM_GROUP general-attributes
address-pool ATM_POOL
tunnel-group ATM_GROUP ipsec-attributes
pre-shared-key *
!
!
prompt hostname context
Cryptochecksum:0722c37f157cf8cda7c6b73e935c6d7b
: end
-----------------------------------------------------------
Народ помогите. Начался ступор....  :-(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от AlexeySV (ok) on 16-Дек-08, 08:42

Я так понимаю с маршрутизацией недокрутил, но где понять не могу... :-(
Если кто понял подскажите пожалуйста, сроки горят.
Заранее спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от MIXer on 16-Дек-08, 17:40

>Сильно не пинайте! Первый раз держу в руках данное железо.
Не особо вникая в подробности по опыту скажу, что пытался такую штуку сделать, но с 5й версией клиента получил такую штуку. 4я работала.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от AlexeySV (ok) on 17-Дек-08, 08:14

>>Сильно не пинайте! Первый раз держу в руках данное железо.
>
>Не особо вникая в подробности по опыту скажу, что пытался такую штуку
>сделать, но с 5й версией клиента получил такую штуку. 4я работала.
>
Разобрался пакеты ходя нормально, но возник вопрос.
Можно ли на каждого VPN клиента зарезервировать IP адрес с динамического пула, очень нужно.
Заранее спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от AlexeySV (ok) on 19-Дек-08, 17:39

Спасибо всем за молчание! :-)
Сам дошёл больше пользы...
Но есть проблема, на форуме нашёл похожий пост но там ответа не дали.
Проблема следующая. При загрузке винды стартует Cisco VPN Client подымает диалап и всё работает, но когда падает диалап и потом подымается, Cisco VPN Client не хочет подымать тунель. Хотя AutoInitiationRetryInterval стоит 1мин. Может кто сталкивался.
Буду очень признателен.
З.Ы. Использование Cisco VPN Client принципиально.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от decrups (ok) on 07-Дек-09, 16:51

>[оверквотинг удален]
>Сам дошёл больше пользы...
>Но есть проблема, на форуме нашёл похожий пост но там ответа не
>дали.
>Проблема следующая. При загрузке винды стартует Cisco VPN Client подымает диалап и
>всё работает, но когда падает диалап и потом подымается, Cisco VPN
>Client не хочет подымать тунель. Хотя AutoInitiationRetryInterval стоит 1мин. Может кто
>сталкивался.
>Буду очень признателен.
>
>З.Ы. Использование Cisco VPN Client принципиально.
Здрасвуйте уважаемый AlexeySV!
Может поделитись опытом у меня похожая проблема но самому дойти что то не получается.
Ситуация такая: PC1 подключается к АСЕ через VPN клиента, получает адрес с динамического пула. Но пакеты не ходят даже на внутренний интерфейс АСЫ (192.168.1.1).
У меня только отличие в том что используется ssl vpn.
Схема такая:
   внешняя сеть / внутренняя сеть

[PC1: WinXP------- ------------[ASA]/--------- --[PC2: WinXP]
ст.адрес от пров-ра yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx /192.168.1.1 192.168.1.2
адрес с дин.пула АСЫ 192.168.1.100 /
Ситуация такая: PC1 подключается к АСЕ через VPN клиента, получает адрес с динамического пула. Но пакеты не ходят даже на внутренний интерфейс АСЫ (192.168.1.1).
Помогите разобраться. Заранее спасибо!
ciscoasa# sh run
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password PLBb27eKLE1o9FTB encrypted
names
!
interface Vlan1
  no nameif
  no security-level
  no ip address
!
interface Vlan103
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
!
interface Vlan104
  nameif outside
  security-level 0
  pppoe client vpdn group test
  ip address pppoe setroute
!
interface Ethernet0/0
  switchport access vlan 103
!
interface Ethernet0/1
  switchport access vlan 104
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns domain-lookup outside
dns server-group DefaultDNS
  retries 1
  name-server x.x.x.x
  domain-name default.domain.invalid
same-security-traffic permit inter-interface
access-list racces extended permit tcp any host x.x.x.x eq x
access-list alownat extended permit ip 192.168.0.0 255.255.255.0 any
access-list alownat extended permit ip 192.168.1.0 255.255.255.0 any
access-list ICMPACL extended permit icmp any any
access-list inside_outside extended permit tcp any any eq www
access-list inside_outside extended permit icmp any any
access-list inside_outside extended permit udp any any eq domain
access-list inside_outside extended permit tcp any any eq aol
access-list inside_outside extended permit tcp any any eq smtp
access-list inside_outside extended permit tcp any any eq pop3
access-list inside_outside extended permit tcp any any eq 9999
access-list inside_outside extended permit tcp any any eq https
access-list inside_outside extended permit tcp any any eq 1194
access-list inside_outside extended permit tcp any any eq 3390
access-list inside_outside extended permit tcp any any eq 3389
access-list inside_outside extended permit udp any any eq 1194
access-list inside_outside extended permit tcp any any eq ftp
access-list inside_outside extended permit tcp any any eq ftp-data
access-list inside_outside extended permit tcp any any eq 8080
access-list inside_outside extended permit tcp any any eq 3355
access-list FTPACL extended permit tcp any any eq ftp
access-list FTPACL extended permit tcp any any eq ftp-data
pager lines 24
mtu inside 1500
mtu outside 1500
ip local pool user_vpn 192.168.1.100-192.168.1.110 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 access-list alownat
static (inside,outside) tcp interface x 192.168.1.2 x netmask 255.255.255.255
access-group inside_outside in interface inside
access-group racces in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy test internal
group-policy test attributes
  vpn-tunnel-protocol webvpn
  webvpn
    svc required
username xxx password hrQJD8m6imkmheRR encrypted
username xxxx password pqTbTfo5OBDPP2x6 encrypted privilege 15
aaa authentication enable console LOCAL
aaa authentication telnet console LOCAL
aaa local authentication attempts max-fail 5
http server enable
http 192.168.1.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group remote_users type webvpn
tunnel-group remote_users general-attributes
  address-pool user_vpn
  default-group-policy test
tunnel-group remote_users webvpn-attributes
  group-alias itserv enable
telnet 192.168.1.2 255.255.255.255 inside
telnet timeout 60
ssh timeout 5
console timeout 0
vpdn group test request dialout pppoe
vpdn group test localname xxxx
vpdn group test ppp authentication pap
vpdn username xxxxx password ********* store-local
!
class-map FTP-CLASS
  match access-list FTPACL
class-map ICMP-CLASS
  match access-list ICMPACL
!
!
policy-map ICMP-POLICY
  class ICMP-CLASS
    inspect icmp
  class FTP-CLASS
    inspect ftp
!
service-policy ICMP-POLICY global
webvpn
  enable outside
  svc image disk0:/sslclient-win-1.1.4.179-anyconnect.pkg 1
  svc enable
  tunnel-group-list enable
prompt hostname context
Cryptochecksum:404c7d9a0a1bbca334bffea1b0459c30
: end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от leshka_indi (??) on 07-Янв-09, 15:32

>[оверквотинг удален]
>>
>>Не особо вникая в подробности по опыту скажу, что пытался такую штуку
>>сделать, но с 5й версией клиента получил такую штуку. 4я работала.
>>
>
>Разобрался пакеты ходя нормально, но возник вопрос.
>Можно ли на каждого VPN клиента зарезервировать IP адрес с динамического пула,
>очень нужно.
>
>Заранее спасибо!
Если сам разобрался как на каждого VPN клиента зарезервировать IP адрес с динамического пула,
то напиши плиз для всех, чтоб знали.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)" +/–

Сообщение от AlexeySV (ok) on 19-Янв-09, 10:07

Динамику раздаю следующим образом: создаю для каждой точки подключения отдельного пользователя в локальной(ASA)базе пользователей, которому присваиваю резервированный адрес.
Проблему с передозвоном и поднятием тунеля решил следующим образом:
Для клиентских машин написал скрипт на VBS, который мониторит статус подключения DUN и статус VPN, если всё падает, скрипт подымает DUN, а затем VPN. Скрипт запускается сервисом, который автоматом стартует при загрузке винды.
ЗЫ. GUI в топку, пользуйте командную строку!!!  :-)
>[оверквотинг удален]
>>
>>Разобрался пакеты ходя нормально, но возник вопрос.
>>Можно ли на каждого VPN клиента зарезервировать IP адрес с динамического пула,
>>очень нужно.
>>
>>Заранее спасибо!
>
>Если сам разобрался как на каждого VPN клиента зарезервировать IP адрес с
>динамического пула,
>то напиши плиз для всех, чтоб знали.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
Сообщение от maputa (??) on 14-Ноя-08, 12:51
nat 0 между внутренней сетью и vpn должен помочь
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
	Сообщение от AlexeySV (ok) on 14-Ноя-08, 13:03
	>nat 0 между внутренней сетью и vpn должен помочь Так вроде как нат уже есть.... :-(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
	Сообщение от ash (??) on 14-Ноя-08, 13:31
	>>nat 0 между внутренней сетью и vpn должен помочь > >Так вроде как нат уже есть.... :-( Ну тебе сказали об обратном - не натить или NAT 0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
	Сообщение от AlexeySV (ok) on 15-Дек-08, 14:22
	>>>nat 0 между внутренней сетью и vpn должен помочь >> >>Так вроде как нат уже есть.... :-( > >Ну тебе сказали об обратном - не натить или NA ------------------------------------------------------------------ ---------------------------------------------------------------- Немного изменил конфигурацию и добавил NAT0, но при этом ситуация не меняется.... :-( : ASA Version 8.0(3) ! hostname ASA-VPN-Srv domain-name dkib.db enable password blablabla encrypted names dns-guard ! interface Ethernet0/0 nameif inside security-level 100 ip address 10.0.0.144 255.255.255.0 no igmp ospf cost 10 ! interface Ethernet0/1 description VPN nameif outside security-level 0 ip address xxx.xxx.xxx.xxx 255.255.255.240 no igmp ospf cost 10 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 0 ip address no igmp ospf cost 10 management-only ! passwd blablabla encrypted boot system disk0:/asa803-k8.bin ftp mode passive clock timezone BDT 6 dns server-group DefaultDNS domain-name dkib.db same-security-traffic permit inter-interface object-group network NET_ATM network-object 192.168.101.0 255.255.255.0 access-list ACL_outside_IN extended permit icmp any any access-list ACL_inside_IN extended permit icmp any any access-list ACL_NO_NAT extended permit ip any object-group NET_ATM access-list outside_ATM_DYN extended permit ip any object-group NET_ATM pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 mtu management 1500 ip local pool ATM_POOL 192.168.101.2-192.168.101.100 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 icmp permit any inside icmp permit any outside asdm image disk0:/asdm-603.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list ACL_NO_NAT nat (inside) 1 10.0.0.0 255.255.255.0 nat (inside) 0 192.168.101.0 255.255.255.0 access-group ACL_inside_IN in interface inside access-group ACL_outside_IN in interface outside route outside 0.0.0.0 0.0.0.0 212.42.101.17 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy eou allow none aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL http server enable no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec transform-set TRANS_ESP_3DES_MD5 esp-3des esp-md5-hmac crypto ipsec transform-set TRANS_ESP_3DES_MD5 mode transport crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set 3DESSHA esp-3des esp-sha-hmac crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-3DES-SHA ESP-3DES-MD5 ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-DES-SHA ESP-DES-MD5 TRANS_ESP_3DES_MD5 crypto dynamic-map outside_DYN_MAP 20 match address outside_ATM_DYN crypto dynamic-map outside_DYN_MAP 20 set transform-set 3DESSHA crypto dynamic-map outside_DYN_MAP 20 set reverse-route crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map management_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map management_map interface management crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map inside_map interface inside crypto map outside_MAP 10 ipsec-isakmp dynamic outside_DYN_MAP crypto map outside_MAP interface outside crypto ca server shutdown issuer-name CN = ASA-VPN-Srv.segment.dn crypto isakmp enable outside crypto isakmp enable management crypto isakmp policy 5 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 20 authentication pre-share encryption aes hash sha group 2 lifetime 86400 crypto isakmp policy 30 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 no vpn-addr-assign aaa no vpn-addr-assign dhcp telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics ssl encryption des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 webvpn enable outside group-policy ATM-GROUP internal group-policy ATM-GROUP attributes dns-server value 10.0.0.2 vpn-simultaneous-logins 1 vpn-tunnel-protocol IPSec username atmuser password blablabla encrypted privilege 7 username atmuser attributes vpn-group-policy ATM-GROUP username Root password UX2/n83rDWe4gM81 encrypted privilege 15 tunnel-group ATM_GROUP type remote-access tunnel-group ATM_GROUP general-attributes address-pool ATM_POOL tunnel-group ATM_GROUP ipsec-attributes pre-shared-key * ! ! prompt hostname context Cryptochecksum:0722c37f157cf8cda7c6b73e935c6d7b : end ----------------------------------------------------------- Народ помогите. Начался ступор.... :-(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
	Сообщение от AlexeySV (ok) on 16-Дек-08, 08:42
	Я так понимаю с маршрутизацией недокрутил, но где понять не могу... :-( Если кто понял подскажите пожалуйста, сроки горят. Заранее спасибо!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

6. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
Сообщение от MIXer on 16-Дек-08, 17:40
>Сильно не пинайте! Первый раз держу в руках данное железо. Не особо вникая в подробности по опыту скажу, что пытался такую штуку сделать, но с 5й версией клиента получил такую штуку. 4я работала.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
	Сообщение от AlexeySV (ok) on 17-Дек-08, 08:14
	>>Сильно не пинайте! Первый раз держу в руках данное железо. > >Не особо вникая в подробности по опыту скажу, что пытался такую штуку >сделать, но с 5й версией клиента получил такую штуку. 4я работала. > Разобрался пакеты ходя нормально, но возник вопрос. Можно ли на каждого VPN клиента зарезервировать IP адрес с динамического пула, очень нужно. Заранее спасибо!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
	Сообщение от AlexeySV (ok) on 19-Дек-08, 17:39
	Спасибо всем за молчание! :-) Сам дошёл больше пользы... Но есть проблема, на форуме нашёл похожий пост но там ответа не дали. Проблема следующая. При загрузке винды стартует Cisco VPN Client подымает диалап и всё работает, но когда падает диалап и потом подымается, Cisco VPN Client не хочет подымать тунель. Хотя AutoInitiationRetryInterval стоит 1мин. Может кто сталкивался. Буду очень признателен. З.Ы. Использование Cisco VPN Client принципиально.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
	Сообщение от decrups (ok) on 07-Дек-09, 16:51
	>[оверквотинг удален] >Сам дошёл больше пользы... >Но есть проблема, на форуме нашёл похожий пост но там ответа не >дали. >Проблема следующая. При загрузке винды стартует Cisco VPN Client подымает диалап и >всё работает, но когда падает диалап и потом подымается, Cisco VPN >Client не хочет подымать тунель. Хотя AutoInitiationRetryInterval стоит 1мин. Может кто >сталкивался. >Буду очень признателен. > >З.Ы. Использование Cisco VPN Client принципиально. Здрасвуйте уважаемый AlexeySV! Может поделитись опытом у меня похожая проблема но самому дойти что то не получается. Ситуация такая: PC1 подключается к АСЕ через VPN клиента, получает адрес с динамического пула. Но пакеты не ходят даже на внутренний интерфейс АСЫ (192.168.1.1). У меня только отличие в том что используется ssl vpn. Схема такая: внешняя сеть / внутренняя сеть [PC1: WinXP------- ------------[ASA]/--------- --[PC2: WinXP] ст.адрес от пров-ра yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx /192.168.1.1 192.168.1.2 адрес с дин.пула АСЫ 192.168.1.100 / Ситуация такая: PC1 подключается к АСЕ через VPN клиента, получает адрес с динамического пула. Но пакеты не ходят даже на внутренний интерфейс АСЫ (192.168.1.1). Помогите разобраться. Заранее спасибо! ciscoasa# sh run : Saved : ASA Version 7.2(2) ! hostname ciscoasa domain-name default.domain.invalid enable password PLBb27eKLE1o9FTB encrypted names ! interface Vlan1 no nameif no security-level no ip address ! interface Vlan103 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan104 nameif outside security-level 0 pppoe client vpdn group test ip address pppoe setroute ! interface Ethernet0/0 switchport access vlan 103 ! interface Ethernet0/1 switchport access vlan 104 ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup outside dns server-group DefaultDNS retries 1 name-server x.x.x.x domain-name default.domain.invalid same-security-traffic permit inter-interface access-list racces extended permit tcp any host x.x.x.x eq x access-list alownat extended permit ip 192.168.0.0 255.255.255.0 any access-list alownat extended permit ip 192.168.1.0 255.255.255.0 any access-list ICMPACL extended permit icmp any any access-list inside_outside extended permit tcp any any eq www access-list inside_outside extended permit icmp any any access-list inside_outside extended permit udp any any eq domain access-list inside_outside extended permit tcp any any eq aol access-list inside_outside extended permit tcp any any eq smtp access-list inside_outside extended permit tcp any any eq pop3 access-list inside_outside extended permit tcp any any eq 9999 access-list inside_outside extended permit tcp any any eq https access-list inside_outside extended permit tcp any any eq 1194 access-list inside_outside extended permit tcp any any eq 3390 access-list inside_outside extended permit tcp any any eq 3389 access-list inside_outside extended permit udp any any eq 1194 access-list inside_outside extended permit tcp any any eq ftp access-list inside_outside extended permit tcp any any eq ftp-data access-list inside_outside extended permit tcp any any eq 8080 access-list inside_outside extended permit tcp any any eq 3355 access-list FTPACL extended permit tcp any any eq ftp access-list FTPACL extended permit tcp any any eq ftp-data pager lines 24 mtu inside 1500 mtu outside 1500 ip local pool user_vpn 192.168.1.100-192.168.1.110 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 icmp permit any inside asdm image disk0:/asdm-522.bin no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (inside) 1 access-list alownat static (inside,outside) tcp interface x 192.168.1.2 x netmask 255.255.255.255 access-group inside_outside in interface inside access-group racces in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute group-policy test internal group-policy test attributes vpn-tunnel-protocol webvpn webvpn svc required username xxx password hrQJD8m6imkmheRR encrypted username xxxx password pqTbTfo5OBDPP2x6 encrypted privilege 15 aaa authentication enable console LOCAL aaa authentication telnet console LOCAL aaa local authentication attempts max-fail 5 http server enable http 192.168.1.2 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart tunnel-group remote_users type webvpn tunnel-group remote_users general-attributes address-pool user_vpn default-group-policy test tunnel-group remote_users webvpn-attributes group-alias itserv enable telnet 192.168.1.2 255.255.255.255 inside telnet timeout 60 ssh timeout 5 console timeout 0 vpdn group test request dialout pppoe vpdn group test localname xxxx vpdn group test ppp authentication pap vpdn username xxxxx password ********* store-local ! class-map FTP-CLASS match access-list FTPACL class-map ICMP-CLASS match access-list ICMPACL ! ! policy-map ICMP-POLICY class ICMP-CLASS inspect icmp class FTP-CLASS inspect ftp ! service-policy ICMP-POLICY global webvpn enable outside svc image disk0:/sslclient-win-1.1.4.179-anyconnect.pkg 1 svc enable tunnel-group-list enable prompt hostname context Cryptochecksum:404c7d9a0a1bbca334bffea1b0459c30 : end
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
	Сообщение от leshka_indi (??) on 07-Янв-09, 15:32
	>[оверквотинг удален] >> >>Не особо вникая в подробности по опыту скажу, что пытался такую штуку >>сделать, но с 5й версией клиента получил такую штуку. 4я работала. >> > >Разобрался пакеты ходя нормально, но возник вопрос. >Можно ли на каждого VPN клиента зарезервировать IP адрес с динамического пула, >очень нужно. > >Заранее спасибо! Если сам разобрался как на каждого VPN клиента зарезервировать IP адрес с динамического пула, то напиши плиз для всех, чтоб знали.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "VPN ASA 5510 + Cisco VPN Client (не ходят пакеты во внутрь)"		+/–
	Сообщение от AlexeySV (ok) on 19-Янв-09, 10:07
	Динамику раздаю следующим образом: создаю для каждой точки подключения отдельного пользователя в локальной(ASA)базе пользователей, которому присваиваю резервированный адрес. Проблему с передозвоном и поднятием тунеля решил следующим образом: Для клиентских машин написал скрипт на VBS, который мониторит статус подключения DUN и статус VPN, если всё падает, скрипт подымает DUN, а затем VPN. Скрипт запускается сервисом, который автоматом стартует при загрузке винды. ЗЫ. GUI в топку, пользуйте командную строку!!! :-) >[оверквотинг удален] >> >>Разобрался пакеты ходя нормально, но возник вопрос. >>Можно ли на каждого VPN клиента зарезервировать IP адрес с динамического пула, >>очень нужно. >> >>Заранее спасибо! > >Если сам разобрался как на каждого VPN клиента зарезервировать IP адрес с >динамического пула, >то напиши плиз для всех, чтоб знали.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору