Бьюсь уже неделю - никак не могу настроить anyconnect ssl. Вроде все сделал правильно, подключается, но внутр сети не пускает.
Пните где косяк.
Схема в приложении.
Нат настроен только на inside_201. А подключаться надо к inside_205.
Сам конфиг:
ASA Version 9.2(2)4 ! domain-name work.csi names ip local pool POOL_VPN 192.168.210.1-192.168.210.10 mask 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/6 ! interface Ethernet0/7 switchport trunk allowed vlan 18,201-203,205 switchport trunk native vlan 205 switchport mode trunk ! interface Vlan2 nameif outside security-level 0 ip address xxx.xxx.xxx.254 255.255.255.252 ! interface Vlan201 nameif inside_201 security-level 100 ip address 192.168.201.1 255.255.255.240 ! interface Vlan205 nameif inside_205 security-level 100 ip address 192.168.205.254 255.255.255.0 ! boot system disk0:/asa922-4-k8.bin dns domain-lookup outside dns domain-lookup inside_201 dns domain-lookup inside_205 dns server-group DefaultDNS domain-name work.csi same-security-traffic permit inter-interface object service tcp_5190 service tcp source range 1 65355 destination eq aol object service tcp_5222 service tcp source range 1 65355 destination eq 5222 object service tcp_85 service tcp source eq 85 destination eq 85 object service udp_137 service udp source eq netbios-ns destination eq netbios-ns object service udp_138 service udp source eq netbios-dgm destination eq netbios-dgm object network NETWORK_OBJ_192.168.210.0_28 subnet 192.168.210.0 255.255.255.240 object network NETWORK_OBJ_192.168.205.0_24 subnet 192.168.205.0 255.255.255.0 object-group service DM_INLINE_UDP_1 udp port-object eq www port-object eq ntp port-object eq snmp port-object eq time port-object eq who object-group protocol TCPUDP protocol-object udp protocol-object tcp object-group service DM_INLINE_TCP_1 tcp port-object eq daytime port-object eq ftp port-object eq ftp-data port-object eq hostname port-object eq www port-object eq https port-object eq imap4 port-object eq nntp port-object eq pop3 port-object eq pptp port-object eq smtp port-object eq ssh access-list inside_201_access_in extended permit object-group TCPUDP any any eq www access-list inside_201_access_in extended permit object-group TCPUDP any any eq domain access-list inside_201_access_in extended permit object-group TCPUDP any any eq echo access-list inside_201_access_in remark ICQ access-list inside_201_access_in extended permit object tcp_5190 any any access-list inside_201_access_in remark QIP access-list inside_201_access_in extended permit object tcp_5222 any any access-list inside_201_access_in extended permit icmp any any echo access-list inside_201_access_in extended permit tcp any any object-group DM_INLINE_TCP_1 access-list inside_201_access_in extended permit udp any any object-group DM_INLINE_UDP_1 access-list inside_201_access_in extended deny ip any any access-list MGMT_ACL standard permit 192.168.205.0 255.255.255.0 asdm image disk0:/asdm-751-112.bin ! nat (inside_201,outside) after-auto source dynamic any interface access-group outside_access_in in interface outside access-group inside_201_access_in in interface inside_201 access-group inside_205_access_in in interface inside_205 route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.253 1 dynamic-access-policy-record DfltAccessPolicy no user-identity enable crypto ca trustpool policy crypto ca certificate chain ASDM_TrustPoint0 certificate b3de7459 308202e0 308201c8 a0030201 020204b3 de745930 0d06092a 864886f7 0d010105 05003032 310f300d 06035504 03130647 57435353 49311f30 1d06092a 864886f7 0d010902 16104757 43535349 2e776f72 6b2e6373 7369301e 170d3137 30373233 31383039 30365a17 0d323730 37323131 38303930 365a3032 310f300d 06035504 03130647 57435353 49311f30 1d06092a 864886f7 0d010902 16104757 43535349 2e776f72 6b2e6373 73693082 0122300d 06092a86 4886f70d 01010105 00038201 0f003082 010a0282 010100fc e17413d1 a21d34b1 0ad6ed55 27a0f158 093cd20a 30bb9886 46b9698a 163e33dd 615c1c21 aa96b1df dbdab6b5 5eb4a617 842f47d5 5fbb0912 1f2e2246 4168e77e 63fc2a7a dae943d4 93f1086b 521ff670 18fcdf3b c491af2d a02f6dd5 28c326ae 4c6a1298 e00b3890 d63ed1d5 0b9630f7 c6e8b6cb a31e38cb 919176ff 82c12969 e46d10fa c76fc56e b2a2a38d d2224e8f 959e8f86 a77be080 7d73ca52 a3cc7105 2b669f54 8fb40a29 1b998742 56a85e69 3d59e80e 4d973c94 66d57eba c56be5fd ebffcf72 afcd1225 10fe1b38 7db478da 4a83ca7c a1cb1532 cc50238a 3e1ade86 f38a3902 ec4ac017 c05ae98b 47be436e 42576142 d95e313e 574f008c 7c3c3f02 03010001 300d0609 2a864886 f70d0101 05050003 82010100 791597f0 cde5368c e99082e6 c59ee694 9c9a4cf7 e3dc8476 32b41d2e 059375cd 9e9540dd f7ea0866 1f740daf 6237ddbe eb6b51d5 3e41c831 7dfaefbc dfea1ae1 568a7e82 c6d22c46 3fb7026a 949af211 bf8878b4 56bf3afa 0e74f560 acb28204 eb8f896b 17dee269 2561b808 da9c8c6c 2e6095c7 02beb22d f00b4b73 3f6e7459 e41a5bb9 5d48c56e 880e04e0 5a4f96b7 48fead16 3fa475b1 28a1858d 08a458f6 4692c6a1 6aed1c4d f8f36725 387d5078 db65632a d1650466 4949d1f9 24e6fbb9 6a54147b 325f82f8 c8ba4111 d08bbe43 778ac4b1 47f608c6 54718f79 ac38f167 d6dda696 b653b159 28eedc86 ec4d2578 29779bf4 feb5118d b5490cba 678d098c quit dhcpd dns 8.8.8.8 8.8.4.4 ! dhcpd address 192.168.201.2-192.168.201.12 inside_201 dhcpd dns 8.8.8.8 8.8.4.4 interface inside_201 dhcpd lease 86400 interface inside_201 dhcpd auto_config outside interface inside_201 dhcpd enable inside_201 ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server 91.226.136.155 source outside ssl trust-point ASDM_TrustPoint0 outside webvpn enable outside anyconnect-essentials anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1 anyconnect enable tunnel-group-list enable default-language ru group-policy DfltGrpPolicy attributes vpn-tunnel-protocol ikev2 ssl-client ssl-clientless default-domain value work.csi group-policy GroupPolicy_MGMT internal group-policy GroupPolicy_MGMT attributes wins-server none dns-server none vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value MGMT_ACL default-domain value work.csi tunnel-group MGMT type remote-access tunnel-group MGMT general-attributes address-pool POOL_VPN default-group-policy GroupPolicy_MGMT tunnel-group MGMT webvpn-attributes group-alias MGMT enable ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect icmp ! service-policy global_policy global prompt hostname context no call-home reporting anonymous
Это с клиента:
route print =========================================================================== Список интерфейсов 3...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64 15...00 26 18 ac c5 03 ......Realtek PCIe GBE Family Controller 6...12 25 d3 5e 2a 93 ......Microsoft Wi-Fi Direct Virtual Adapter 14...00 25 d3 5e 2a 93 ......Qualcomm Atheros AR9285 Wireless Network Adapter 1...........................Software Loopback Interface 1 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.8 55 0.0.0.0 0.0.0.0 192.168.210.2 192.168.210.1 2 XXX.XXX.XXX.254 255.255.255.255 192.168.1.1 192.168.1.8 56 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 192.168.1.1 255.255.255.255 On-link 192.168.1.8 56 192.168.1.8 255.255.255.255 On-link 192.168.1.8 311 192.168.210.0 255.255.255.0 On-link 192.168.210.1 257 192.168.210.1 255.255.255.255 On-link 192.168.210.1 257 192.168.210.255 255.255.255.255 On-link 192.168.210.1 257 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 192.168.1.8 311 224.0.0.0 240.0.0.0 On-link 192.168.210.1 10000 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 192.168.1.8 311 255.255.255.255 255.255.255.255 On-link 192.168.210.1 10000 =========================================================================== Постоянные маршруты: Отсутствует ipconfog all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : l_mobil Основной DNS-суффикс . . . . . . : Тип узла. . . . . . . . . . . . . : Гибридный IP-маршрутизация включена . . . . : Нет WINS-прокси включен . . . . . . . : Нет Порядок просмотра суффиксов DNS . : work.csi Адаптер Ethernet Ethernet 2: DNS-суффикс подключения . . . . . : work.csi Описание. . . . . . . . . . . . . : Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64 Физический адрес. . . . . . . . . : 00-05-9A-3C-7A-00 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.210.1(Основной) Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : 192.168.210.2 NetBios через TCP/IP. . . . . . . . : Включен Адаптер Ethernet Ethernet: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller Физический адрес. . . . . . . . . : 00-26-18-AC-C5-03 DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да Адаптер беспроводной локальной сети Подключение по локальной сети* 1: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter Физический адрес. . . . . . . . . : 12-25-D3-5E-2A-93 DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да Адаптер беспроводной локальной сети Беспроводная сеть: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Qualcomm Atheros AR9285 Wireless Network Adapter Физический адрес. . . . . . . . . : 00-25-D3-5E-2A-93 DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.1.8(Основной) Маска подсети . . . . . . . . . . : 255.255.255.0 Аренда получена. . . . . . . . . . : 23 июля 2017 г. 18:17:38 Срок аренды истекает. . . . . . . . . . : 24 июля 2017 г. 21:18:34 Основной шлюз. . . . . . . . . : 192.168.1.1 DHCP-сервер. . . . . . . . . . . : 192.168.1.1 DNS-серверы. . . . . . . . . . . : 192.168.1.1 NetBios через TCP/IP. . . . . . . . : Включен
Спасибо.
Прикрепленные файлы
-
001.jpg (49,61К)
Количество загрузок:: 2