Добрый день!
Ребят, такая проблема. Нужно настроить асу 5520 так чтобы она терминировала VPN-сессии удаленных пользователей, подключающихся с помощью Cisco VPN Client.Попробовал собрать модель системы, вот ее схема:
PC1 <--------> (inside) ASA5520 (outside) <---------> PC2 (remote user)
192.168.1.54 192.168.1.45 x.x.x.x x.x.x.x1
После настройки клиенту выдается ip из пула 192.168.11.1-192.168.11.10. Клиент успешно проходит аутентификацию, получает заветный ip. Статус клиента показывает, что все успешно подключилось, однако пинг на PC1 с PC2 не идет.
Вот конфигурация фаервола:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
name 192.168.1.54 ISAyar
name 192.168.1.45 ASAyarIn
name 172.16.0.1 ASAyarDmz
name x.x.x.x ASAyarOut
name y.y.y.y ASAmskOut
name 192.168.2.3 ASAmskIn
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address ASAyarOut 255.255.255.224
!
interface GigabitEthernet0/1
nameif dmz
security-level 50
ip address ASAyarDmz 255.255.255.0
!
interface GigabitEthernet0/2
nameif inside
security-level 100
ip address ASAyarIn 255.255.255.0
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 10.0.0.2 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group service DM_INLINE_TCP_1 tcp
port-object eq ftp
port-object eq www
port-object eq pop3
port-object eq smtp
access-list global_mpc extended permit tcp any any object-group DM_INLINE_TCP_1
access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list encryptpackets extended permit ip 192.168.1.0 255.255.255.0 192.168.11.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu dmz 1500
mtu inside 1500
mtu management 1500
ip local pool RAPool 192.168.11.1-192.168.11.10 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 85.158.54.129 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 10.0.0.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set set1 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set set1
crypto dynamic-map dynmap 10 set reverse-route
crypto map MAP1 10 ipsec-isakmp dynamic dynmap
crypto map MAP1 interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map global-class
match access-list global_mpc
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class global-class
csc fail-close
!
service-policy global_policy global
group-policy RA internal
group-policy RA attributes
wins-server value 192.168.1.54
dns-server value 192.168.1.54
vpn-tunnel-protocol IPSec
default-domain value kamisever.ru
address-pools value RAPool
username user1 password IzFIX6IZbh5HBYwq encrypted
username user2 password zoYUx4sFkdKJRcJH encrypted
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool RAPool
default-group-policy RA
tunnel-group RA ipsec-attributes
pre-shared-key cisco
isakmp keepalive threshold 30 retry 10
prompt hostname context
Наверное что-то забыл или неправильно настроил. Подскажите пожалуйста что не так, а то уже голова дымится.
Большое спасибо.