https://www.opennet.dev/openforum/vsluhforumID6/18061.html Здравствуйте!<br><br>На пиксе поднял Cisco VPN.<br>Пользователь выполняет следующие действия:<br><br>1.Подключается к инету<br>2.Устанавливает соединение через Cisco VPN Client<br>3.Проходит авторизацию (локальная база на пиксе)<br>4.Попадает в корпоративную сеть.<br><br>Когда пользователь попадает в корпоративную сеть у него отсутствует Инет, при этом и DNS и прокси-сервер пингуются.<br>Если выполнить команду nslookup почему-то маршрут идет на внешний DNS (т.е. тот который присваивается при подключении к Инету, до соединения с Cisco VPN Client).<br><br>На пиксе прописано:<br>group-policy ciscovpn internal<br>group-policy ciscovpn attributes<br> dns-server value 10.10.1.1<br> split-tunnel-policy tunnelspecified<br> split-tunnel-network-list value split<br><br>Что можете подсказать?<br> https://www.opennet.dev/openforum/vsluhforumID6/18061.html#20 Wed, 28 Jan 2009 12:01:08 GMT Вы не поверите....<br><br>Оказывается все очень просто...<br>IE не поддерживает прокси при Cisco VPN... Надо работать, например через Mozilla Firefox<br>В IE в настройках подключения, где указывается прокси .... <br>в скобках написано (не принимается для удаленных или VPN подключений), т.е. сам IE не пропускает в Инет при VPN соединении....<br> https://www.opennet.dev/openforum/vsluhforumID6/18061.html#19 Mon, 26 Jan 2009 08:29:18 GMT &gt;А ISA знает где искать 10.10.16.х? <br><br>Да, конечно!<br> https://www.opennet.dev/openforum/vsluhforumID6/18061.html#18 Mon, 26 Jan 2009 07:39:08 GMT А ISA знает где искать 10.10.16.х? <br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/18061.html#17 Mon, 26 Jan 2009 07:16:41 GMT &gt;Вот фрагмент конфига: <br>&gt;<br>&gt;access-list nonat extended permit ip 10.10.16.0 255.255.255.0 any <br>&gt;access-list nonat extended permit ip any 10.10.16.0 255.255.255.0 <br>&gt;access-list split extended permit ip any 10.10.16.0 255.255.255.0 <br>&gt;access-list outside extended permit icmp any any <br>&gt;access-list outside extended permit ip 10.10.0.0 255.255.0.0 any <br><br>...<br>Может не нужно пускать все с 10й сети на внешнем интерфейсе? Ну так из <br>&gt;Проблема с ДНС решилась... <br>&gt;ДНС присваивается... <br>&gt;<br>&gt;При данной конфигурации вижу внутр.сеть, но не могу попасть в Инет... <br>&gt;Инет идет через прокси ISA Server. Возможно что-то надо добипасть на ISA? <br>&gt;<br>&gt;<br>&gt;При команде ping ya.ru <br>&gt;Определяется IP-адрес, а дальше... Превышен интервал ожидания .... <br><br>ну тут уж нужно смотреть и на ису и на маршруты в сети. <br>Циска я думаю тут не причем.<br>посмотрите еще коран, может поможет. <br>http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00805734ae.shtml<br><br> https://www.opennet.dev/openforum/vsluhforumID6/18061.html#16 Sun, 25 Jan 2009 21:37:05 GMT Вот фрагмент конфига:<br><br>access-list nonat extended permit ip 10.10.16.0 255.255.255.0 any <br>access-list nonat extended permit ip any 10.10.16.0 255.255.255.0 <br>access-list split extended permit ip any 10.10.16.0 255.255.255.0 <br>access-list outside extended permit icmp any any <br>access-list outside extended permit ip 10.10.0.0 255.255.0.0 any <br><br>ip local pool vpnutk 10.10.16.1-10.10.16.254 mask 255.255.255.0<br>ip verify reverse-path interface outside<br><br>nat-control<br>nat (inside) 0 access-list nonat<br><br>crypto ipsec transform-set vpn esp-des esp-md5-hmac <br>crypto dynamic-map vpn 10 set transform-set vpn<br>crypto map vpn 10 ipsec-isakmp dynamic vpn<br>crypto map vpn interface outside<br>crypto isakmp identity address <br>crypto isakmp enable outside<br>crypto isakmp policy 10<br> authentication pre-share<br> encryption des<br> hash md5<br> group 2<br> lifetime 86400<br>crypto isakmp policy 65535<br> authentication pre-share<br> encryption des<br> hash sha<br> group 2<br> lifetime 86400<br><br>group-policy ciscovpn internal<br>group-policy VPNPOOL a https://www.opennet.dev/openforum/vsluhforumID6/18061.html#15 Sun, 25 Jan 2009 18:35:25 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;1. как это не видная явная привязка group-policy к тунелльной группе <br>&gt;а как же: <br>&gt;group-policy ciscovpn internal <br>&gt;group-policy ciscovpn attributes <br>&gt;dns-server value 10.10.1.14 <br>&gt;split-tunnel-policy tunnelspecified <br>&gt;split-tunnel-network-list value split <br>&gt;split-dns value 10.10.1.14 <br>&gt;msie-proxy server value 10.10.1.144:8080 <br><br>И? <br>Если вы в tunnel-group не укажете какую group-policy нужно использовать то будет использована по умолчанию полиси - DfltGrpPolicy. Я имел в виду не сплит-тунель.<br><br>Step 7 Optionally, specify the name of the default group policy. The default value is DfltGrpPolicy:<br><br>hostname(config-tunnel-general)# default-group-policy policyname<br><br>hostname(config-tunnel-general)# <br>http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/vpngrp.html#wp1042120<br><br>tunnel-group ciscovpn general-attributes<br>default-group-policy ciscovpn <br><br><br>&gt;2. т.е. я с outside должен всем разрешить udp 500 <br>&gt;access-list outside extended permit udp any any e https://www.opennet.dev/openforum/vsluhforumID6/18061.html#14 Sun, 25 Jan 2009 18:15:23 GMT &gt;[оверквотинг удален]<br>&gt;в туннель-группе не видна явная привязка group-policy к тунелльной группе. <br>&gt;group-policy TO attributes <br>&gt;... <br>&gt;... <br>&gt;tunnel-group Test general-attributes <br>&gt; default-group-policy TO <br>&gt;... <br>&gt;<br>&gt;2. внешний список доступа урезали? если да то проверьте что ото всех <br>&gt;к вам разрешен трафик udp 500 4500 esp <br><br>Если указываю <br>tunnel-group Test general-attributes <br>default-group-policy TO <br><br>Инет есть, но почему-то не через прокси....<br>но тогда пропадает внутренняя сеть 10.10.х.х. - пинги не ходят...<br>если убираю default-group-policy TO внутреннюю сеть вижу, но нет Инета...<br><br> https://www.opennet.dev/openforum/vsluhforumID6/18061.html#13 Sun, 25 Jan 2009 16:24:44 GMT &gt;[оверквотинг удален]<br>&gt;в туннель-группе не видна явная привязка group-policy к тунелльной группе. <br>&gt;group-policy TO attributes <br>&gt;... <br>&gt;... <br>&gt;tunnel-group Test general-attributes <br>&gt; default-group-policy TO <br>&gt;... <br>&gt;<br>&gt;2. внешний список доступа урезали? если да то проверьте что ото всех <br>&gt;к вам разрешен трафик udp 500 4500 esp <br><br>1. как это не видная явная привязка group-policy к тунелльной группе<br>а как же:<br>group-policy ciscovpn internal<br>group-policy ciscovpn attributes<br>dns-server value 10.10.1.14<br>split-tunnel-policy tunnelspecified<br>split-tunnel-network-list value split<br>split-dns value 10.10.1.14 <br>msie-proxy server value 10.10.1.144:8080 <br><br>2. т.е. я с outside должен всем разрешить udp 500<br>access-list outside extended permit udp any any eq isakmp<br>access-list outside extended permit esp any any<br><br>так?<br> https://www.opennet.dev/openforum/vsluhforumID6/18061.html#12 Sun, 25 Jan 2009 14:08:43 GMT 1.<br>в туннель-группе не видна явная привязка group-policy к тунелльной группе.<br>group-policy TO attributes<br>...<br>...<br>tunnel-group Test general-attributes<br> default-group-policy TO<br>...<br><br>2. внешний список доступа урезали? если да то проверьте что ото всех к вам разрешен трафик udp 500 4500 esp<br><br><br><br>