Конференция CiscoLab: Cisco Asa 5505 Vpn Не Пускает Во Внутреннею Сеть - Конференция CiscoLab

Перейти к содержимому

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Cisco Asa 5505 Vpn Не Пускает Во Внутреннею Сеть

#1 Пользователь офлайн   Michail Иконка

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 0
Обычный

Отправлено 24 Июль 2017 - 00:27

Добрый день!

Бьюсь уже неделю - никак не могу настроить anyconnect ssl. Вроде все сделал правильно, подключается, но внутр сети не пускает.
Пните где косяк.
Схема в приложении.
Нат настроен только на inside_201. А подключаться надо к inside_205.
Сам конфиг:
ASA Version 9.2(2)4 
!
domain-name work.csi
names
ip local pool POOL_VPN 192.168.210.1-192.168.210.10 mask 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/6
!
interface Ethernet0/7
 switchport trunk allowed vlan 18,201-203,205
 switchport trunk native vlan 205
 switchport mode trunk
!
interface Vlan2
 nameif outside
 security-level 0
 ip address xxx.xxx.xxx.254 255.255.255.252 
!
interface Vlan201
 nameif inside_201
 security-level 100
 ip address 192.168.201.1 255.255.255.240 
!
interface Vlan205
 nameif inside_205
 security-level 100
 ip address 192.168.205.254 255.255.255.0 
!
boot system disk0:/asa922-4-k8.bin
dns domain-lookup outside
dns domain-lookup inside_201
dns domain-lookup inside_205
dns server-group DefaultDNS
 domain-name work.csi
same-security-traffic permit inter-interface
object service tcp_5190
 service tcp source range 1 65355 destination eq aol 
object service tcp_5222
 service tcp source range 1 65355 destination eq 5222 
object service tcp_85
 service tcp source eq 85 destination eq 85 
object service udp_137
 service udp source eq netbios-ns destination eq netbios-ns 
object service udp_138
 service udp source eq netbios-dgm destination eq netbios-dgm 
object network NETWORK_OBJ_192.168.210.0_28
 subnet 192.168.210.0 255.255.255.240
object network NETWORK_OBJ_192.168.205.0_24
 subnet 192.168.205.0 255.255.255.0
object-group service DM_INLINE_UDP_1 udp
 port-object eq www
 port-object eq ntp
 port-object eq snmp
 port-object eq time
 port-object eq who
object-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp
object-group service DM_INLINE_TCP_1 tcp
 port-object eq daytime
 port-object eq ftp
 port-object eq ftp-data
 port-object eq hostname
 port-object eq www
 port-object eq https
 port-object eq imap4
 port-object eq nntp
 port-object eq pop3
 port-object eq pptp
 port-object eq smtp
 port-object eq ssh
access-list inside_201_access_in extended permit object-group TCPUDP any any eq www 
access-list inside_201_access_in extended permit object-group TCPUDP any any eq domain 
access-list inside_201_access_in extended permit object-group TCPUDP any any eq echo 
access-list inside_201_access_in remark ICQ
access-list inside_201_access_in extended permit object tcp_5190 any any 
access-list inside_201_access_in remark QIP
access-list inside_201_access_in extended permit object tcp_5222 any any 
access-list inside_201_access_in extended permit icmp any any echo 
access-list inside_201_access_in extended permit tcp any any object-group DM_INLINE_TCP_1 
access-list inside_201_access_in extended permit udp any any object-group DM_INLINE_UDP_1 
access-list inside_201_access_in extended deny ip any any 
access-list MGMT_ACL standard permit 192.168.205.0 255.255.255.0 
asdm image disk0:/asdm-751-112.bin
!
nat (inside_201,outside) after-auto source dynamic any interface
access-group outside_access_in in interface outside
access-group inside_201_access_in in interface inside_201
access-group inside_205_access_in in interface inside_205
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.253 1
dynamic-access-policy-record DfltAccessPolicy
no user-identity enable
crypto ca trustpool policy
crypto ca certificate chain ASDM_TrustPoint0
 certificate b3de7459
    308202e0 308201c8 a0030201 020204b3 de745930 0d06092a 864886f7 0d010105 
    05003032 310f300d 06035504 03130647 57435353 49311f30 1d06092a 864886f7 
    0d010902 16104757 43535349 2e776f72 6b2e6373 7369301e 170d3137 30373233 
    31383039 30365a17 0d323730 37323131 38303930 365a3032 310f300d 06035504 
    03130647 57435353 49311f30 1d06092a 864886f7 0d010902 16104757 43535349 
    2e776f72 6b2e6373 73693082 0122300d 06092a86 4886f70d 01010105 00038201 
    0f003082 010a0282 010100fc e17413d1 a21d34b1 0ad6ed55 27a0f158 093cd20a 
    30bb9886 46b9698a 163e33dd 615c1c21 aa96b1df dbdab6b5 5eb4a617 842f47d5 
    5fbb0912 1f2e2246 4168e77e 63fc2a7a dae943d4 93f1086b 521ff670 18fcdf3b 
    c491af2d a02f6dd5 28c326ae 4c6a1298 e00b3890 d63ed1d5 0b9630f7 c6e8b6cb 
    a31e38cb 919176ff 82c12969 e46d10fa c76fc56e b2a2a38d d2224e8f 959e8f86 
    a77be080 7d73ca52 a3cc7105 2b669f54 8fb40a29 1b998742 56a85e69 3d59e80e 
    4d973c94 66d57eba c56be5fd ebffcf72 afcd1225 10fe1b38 7db478da 4a83ca7c 
    a1cb1532 cc50238a 3e1ade86 f38a3902 ec4ac017 c05ae98b 47be436e 42576142 
    d95e313e 574f008c 7c3c3f02 03010001 300d0609 2a864886 f70d0101 05050003 
    82010100 791597f0 cde5368c e99082e6 c59ee694 9c9a4cf7 e3dc8476 32b41d2e 
    059375cd 9e9540dd f7ea0866 1f740daf 6237ddbe eb6b51d5 3e41c831 7dfaefbc 
    dfea1ae1 568a7e82 c6d22c46 3fb7026a 949af211 bf8878b4 56bf3afa 0e74f560 
    acb28204 eb8f896b 17dee269 2561b808 da9c8c6c 2e6095c7 02beb22d f00b4b73 
    3f6e7459 e41a5bb9 5d48c56e 880e04e0 5a4f96b7 48fead16 3fa475b1 28a1858d 
    08a458f6 4692c6a1 6aed1c4d f8f36725 387d5078 db65632a d1650466 4949d1f9 
    24e6fbb9 6a54147b 325f82f8 c8ba4111 d08bbe43 778ac4b1 47f608c6 54718f79 
    ac38f167 d6dda696 b653b159 28eedc86 ec4d2578 29779bf4 feb5118d b5490cba 
    678d098c
  quit

dhcpd dns 8.8.8.8 8.8.4.4
!
dhcpd address 192.168.201.2-192.168.201.12 inside_201
dhcpd dns 8.8.8.8 8.8.4.4 interface inside_201
dhcpd lease 86400 interface inside_201
dhcpd auto_config outside interface inside_201
dhcpd enable inside_201
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 91.226.136.155 source outside
ssl trust-point ASDM_TrustPoint0 outside
webvpn
 enable outside
 anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 default-language ru
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
 default-domain value work.csi
group-policy GroupPolicy_MGMT internal
group-policy GroupPolicy_MGMT attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value MGMT_ACL
 default-domain value work.csi
tunnel-group MGMT type remote-access
tunnel-group MGMT general-attributes
 address-pool POOL_VPN
 default-group-policy GroupPolicy_MGMT
tunnel-group MGMT webvpn-attributes
 group-alias MGMT enable
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ip-options 
  inspect icmp 
!
service-policy global_policy global
prompt hostname context 
no call-home reporting anonymous


Это с клиента:

route print
===========================================================================
Список интерфейсов
  3...00 05 9a 3c 7a 00 ......Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
 15...00 26 18 ac c5 03 ......Realtek PCIe GBE Family Controller
  6...12 25 d3 5e 2a 93 ......Microsoft Wi-Fi Direct Virtual Adapter
 14...00 25 d3 5e 2a 93 ......Qualcomm Atheros AR9285 Wireless Network Adapter
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.8     55
          0.0.0.0          0.0.0.0    192.168.210.2    192.168.210.1      2
    XXX.XXX.XXX.254  255.255.255.255      192.168.1.1      192.168.1.8     56
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.1.1  255.255.255.255         On-link       192.168.1.8     56
      192.168.1.8  255.255.255.255         On-link       192.168.1.8    311
    192.168.210.0    255.255.255.0         On-link     192.168.210.1    257
    192.168.210.1  255.255.255.255         On-link     192.168.210.1    257
  192.168.210.255  255.255.255.255         On-link     192.168.210.1    257
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link       192.168.1.8    311
        224.0.0.0        240.0.0.0         On-link     192.168.210.1  10000
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link       192.168.1.8    311
  255.255.255.255  255.255.255.255         On-link     192.168.210.1  10000
===========================================================================
Постоянные маршруты:

  Отсутствует

ipconfog all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : l_mobil
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : work.csi

Адаптер Ethernet Ethernet 2:

   DNS-суффикс подключения . . . . . : work.csi
   Описание. . . . . . . . . . . . . : Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
   Физический адрес. . . . . . . . . : 00-05-9A-3C-7A-00
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.210.1(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.210.2
   NetBios через TCP/IP. . . . . . . . : Включен

Адаптер Ethernet Ethernet:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : 00-26-18-AC-C5-03
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Адаптер беспроводной локальной сети Подключение по локальной сети* 1:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Физический адрес. . . . . . . . . : 12-25-D3-5E-2A-93
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Адаптер беспроводной локальной сети Беспроводная сеть:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Qualcomm Atheros AR9285 Wireless Network Adapter
   Физический адрес. . . . . . . . . : 00-25-D3-5E-2A-93
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.8(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 23 июля 2017 г. 18:17:38
   Срок аренды истекает. . . . . . . . . . : 24 июля 2017 г. 21:18:34
   Основной шлюз. . . . . . . . . : 192.168.1.1
   DHCP-сервер. . . . . . . . . . . : 192.168.1.1
   DNS-серверы. . . . . . . . . . . : 192.168.1.1
   NetBios через TCP/IP. . . . . . . . : Включен

Спасибо.

Прикрепленные файлы

  • Прикрепленный файл  001.jpg (49,61К)
    Количество загрузок:: 2

0

#2 Пользователь офлайн   Doc Иконка

  • Пользователь
  • PipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 0
Обычный

Отправлено 16 Сентябрь 2017 - 11:27

не вижу в конфиге изключение адресов тоннеля из нат,для трафика локальную сеть
ICND, ASA VPN
-----------------------
Малое знание опасно, впрочем как и большое.
0

Поделиться темой:


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей