Помощь
Бьюсь уже неделю - никак не могу настроить anyconnect ssl. Вроде все сделал правильно, подключается, но внутр сети не пускает.
Пните где косяк.
Схема в приложении.
Нат настроен только на inside_201. А подключаться надо к inside_205.
Сам конфиг:
ASA Version 9.2(2)4
!
domain-name work.csi
names
ip local pool POOL_VPN 192.168.210.1-192.168.210.10 mask 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/6
!
interface Ethernet0/7
switchport trunk allowed vlan 18,201-203,205
switchport trunk native vlan 205
switchport mode trunk
!
interface Vlan2
nameif outside
security-level 0
ip address xxx.xxx.xxx.254 255.255.255.252
!
interface Vlan201
nameif inside_201
security-level 100
ip address 192.168.201.1 255.255.255.240
!
interface Vlan205
nameif inside_205
security-level 100
ip address 192.168.205.254 255.255.255.0
!
boot system disk0:/asa922-4-k8.bin
dns domain-lookup outside
dns domain-lookup inside_201
dns domain-lookup inside_205
dns server-group DefaultDNS
domain-name work.csi
same-security-traffic permit inter-interface
object service tcp_5190
service tcp source range 1 65355 destination eq aol
object service tcp_5222
service tcp source range 1 65355 destination eq 5222
object service tcp_85
service tcp source eq 85 destination eq 85
object service udp_137
service udp source eq netbios-ns destination eq netbios-ns
object service udp_138
service udp source eq netbios-dgm destination eq netbios-dgm
object network NETWORK_OBJ_192.168.210.0_28
subnet 192.168.210.0 255.255.255.240
object network NETWORK_OBJ_192.168.205.0_24
subnet 192.168.205.0 255.255.255.0
object-group service DM_INLINE_UDP_1 udp
port-object eq www
port-object eq ntp
port-object eq snmp
port-object eq time
port-object eq who
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service DM_INLINE_TCP_1 tcp
port-object eq daytime
port-object eq ftp
port-object eq ftp-data
port-object eq hostname
port-object eq www
port-object eq https
port-object eq imap4
port-object eq nntp
port-object eq pop3
port-object eq pptp
port-object eq smtp
port-object eq ssh
access-list inside_201_access_in extended permit object-group TCPUDP any any eq www
access-list inside_201_access_in extended permit object-group TCPUDP any any eq domain
access-list inside_201_access_in extended permit object-group TCPUDP any any eq echo
access-list inside_201_access_in remark ICQ
access-list inside_201_access_in extended permit object tcp_5190 any any
access-list inside_201_access_in remark QIP
access-list inside_201_access_in extended permit object tcp_5222 any any
access-list inside_201_access_in extended permit icmp any any echo
access-list inside_201_access_in extended permit tcp any any object-group DM_INLINE_TCP_1
access-list inside_201_access_in extended permit udp any any object-group DM_INLINE_UDP_1
access-list inside_201_access_in extended deny ip any any
access-list MGMT_ACL standard permit 192.168.205.0 255.255.255.0
asdm image disk0:/asdm-751-112.bin
!
nat (inside_201,outside) after-auto source dynamic any interface
access-group outside_access_in in interface outside
access-group inside_201_access_in in interface inside_201
access-group inside_205_access_in in interface inside_205
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.253 1
dynamic-access-policy-record DfltAccessPolicy
no user-identity enable
crypto ca trustpool policy
crypto ca certificate chain ASDM_TrustPoint0
certificate b3de7459
308202e0 308201c8 a0030201 020204b3 de745930 0d06092a 864886f7 0d010105
05003032 310f300d 06035504 03130647 57435353 49311f30 1d06092a 864886f7
0d010902 16104757 43535349 2e776f72 6b2e6373 7369301e 170d3137 30373233
31383039 30365a17 0d323730 37323131 38303930 365a3032 310f300d 06035504
03130647 57435353 49311f30 1d06092a 864886f7 0d010902 16104757 43535349
2e776f72 6b2e6373 73693082 0122300d 06092a86 4886f70d 01010105 00038201
0f003082 010a0282 010100fc e17413d1 a21d34b1 0ad6ed55 27a0f158 093cd20a
30bb9886 46b9698a 163e33dd 615c1c21 aa96b1df dbdab6b5 5eb4a617 842f47d5
5fbb0912 1f2e2246 4168e77e 63fc2a7a dae943d4 93f1086b 521ff670 18fcdf3b
c491af2d a02f6dd5 28c326ae 4c6a1298 e00b3890 d63ed1d5 0b9630f7 c6e8b6cb
a31e38cb 919176ff 82c12969 e46d10fa c76fc56e b2a2a38d d2224e8f 959e8f86
a77be080 7d73ca52 a3cc7105 2b669f54 8fb40a29 1b998742 56a85e69 3d59e80e
4d973c94 66d57eba c56be5fd ebffcf72 afcd1225 10fe1b38 7db478da 4a83ca7c
a1cb1532 cc50238a 3e1ade86 f38a3902 ec4ac017 c05ae98b 47be436e 42576142
d95e313e 574f008c 7c3c3f02 03010001 300d0609 2a864886 f70d0101 05050003
82010100 791597f0 cde5368c e99082e6 c59ee694 9c9a4cf7 e3dc8476 32b41d2e
059375cd 9e9540dd f7ea0866 1f740daf 6237ddbe eb6b51d5 3e41c831 7dfaefbc
dfea1ae1 568a7e82 c6d22c46 3fb7026a 949af211 bf8878b4 56bf3afa 0e74f560
acb28204 eb8f896b 17dee269 2561b808 da9c8c6c 2e6095c7 02beb22d f00b4b73
3f6e7459 e41a5bb9 5d48c56e 880e04e0 5a4f96b7 48fead16 3fa475b1 28a1858d
08a458f6 4692c6a1 6aed1c4d f8f36725 387d5078 db65632a d1650466 4949d1f9
24e6fbb9 6a54147b 325f82f8 c8ba4111 d08bbe43 778ac4b1 47f608c6 54718f79
ac38f167 d6dda696 b653b159 28eedc86 ec4d2578 29779bf4 feb5118d b5490cba
678d098c
quit
dhcpd dns 8.8.8.8 8.8.4.4
!
dhcpd address 192.168.201.2-192.168.201.12 inside_201
dhcpd dns 8.8.8.8 8.8.4.4 interface inside_201
dhcpd lease 86400 interface inside_201
dhcpd auto_config outside interface inside_201
dhcpd enable inside_201
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 91.226.136.155 source outside
ssl trust-point ASDM_TrustPoint0 outside
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
default-language ru
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
default-domain value work.csi
group-policy GroupPolicy_MGMT internal
group-policy GroupPolicy_MGMT attributes
wins-server none
dns-server none
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value MGMT_ACL
default-domain value work.csi
tunnel-group MGMT type remote-access
tunnel-group MGMT general-attributes
address-pool POOL_VPN
default-group-policy GroupPolicy_MGMT
tunnel-group MGMT webvpn-attributes
group-alias MGMT enable
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Это с клиента:
route print
===========================================================================
Список интерфейсов
3...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
15...00 26 18 ac c5 03 ......Realtek PCIe GBE Family Controller
6...12 25 d3 5e 2a 93 ......Microsoft Wi-Fi Direct Virtual Adapter
14...00 25 d3 5e 2a 93 ......Qualcomm Atheros AR9285 Wireless Network Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.8 55
0.0.0.0 0.0.0.0 192.168.210.2 192.168.210.1 2
XXX.XXX.XXX.254 255.255.255.255 192.168.1.1 192.168.1.8 56
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.1 255.255.255.255 On-link 192.168.1.8 56
192.168.1.8 255.255.255.255 On-link 192.168.1.8 311
192.168.210.0 255.255.255.0 On-link 192.168.210.1 257
192.168.210.1 255.255.255.255 On-link 192.168.210.1 257
192.168.210.255 255.255.255.255 On-link 192.168.210.1 257
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.8 311
224.0.0.0 240.0.0.0 On-link 192.168.210.1 10000
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.8 311
255.255.255.255 255.255.255.255 On-link 192.168.210.1 10000
===========================================================================
Постоянные маршруты:
Отсутствует
ipconfog all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : l_mobil
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : work.csi
Адаптер Ethernet Ethernet 2:
DNS-суффикс подключения . . . . . : work.csi
Описание. . . . . . . . . . . . . : Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
Физический адрес. . . . . . . . . : 00-05-9A-3C-7A-00
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.210.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.210.2
NetBios через TCP/IP. . . . . . . . : Включен
Адаптер Ethernet Ethernet:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 00-26-18-AC-C5-03
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Адаптер беспроводной локальной сети Подключение по локальной сети* 1:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
Физический адрес. . . . . . . . . : 12-25-D3-5E-2A-93
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Адаптер беспроводной локальной сети Беспроводная сеть:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Qualcomm Atheros AR9285 Wireless Network Adapter
Физический адрес. . . . . . . . . : 00-25-D3-5E-2A-93
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.8(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 23 июля 2017 г. 18:17:38
Срок аренды истекает. . . . . . . . . . : 24 июля 2017 г. 21:18:34
Основной шлюз. . . . . . . . . : 192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.1
DNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : ВключенСпасибо.
Прикрепленные файлы
-
001.jpg (49,61К)
Количество загрузок:: 2
Цитата
