The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco ASA Remote Access с помощью VPN Client"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Cisco ASA Remote Access с помощью VPN Client"  
Сообщение от VladimirX email(??) on 04-Авг-08, 16:05 
Добрый день!
Ребят, такая проблема. Нужно настроить асу 5520 так чтобы она терминировала VPN-сессии удаленных пользователей, подключающихся с помощью Cisco VPN Client.

Попробовал собрать модель системы, вот ее схема:

PC1   <-------->     (inside) ASA5520 (outside)   <--------->   PC2 (remote user)
192.168.1.54       192.168.1.45        x.x.x.x                  x.x.x.x1

После настройки клиенту выдается ip из пула 192.168.11.1-192.168.11.10. Клиент успешно проходит аутентификацию, получает заветный ip. Статус клиента показывает, что все успешно подключилось, однако пинг на PC1 с PC2 не идет.

Вот конфигурация фаервола:

ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
name 192.168.1.54 ISAyar
name 192.168.1.45 ASAyarIn
name 172.16.0.1 ASAyarDmz
name x.x.x.x ASAyarOut
name y.y.y.y ASAmskOut
name 192.168.2.3 ASAmskIn
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address ASAyarOut 255.255.255.224
!
interface GigabitEthernet0/1
nameif dmz
security-level 50
ip address ASAyarDmz 255.255.255.0
!
interface GigabitEthernet0/2
nameif inside
security-level 100
ip address ASAyarIn 255.255.255.0
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 10.0.0.2 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group service DM_INLINE_TCP_1 tcp
port-object eq ftp
port-object eq www
port-object eq pop3
port-object eq smtp
access-list global_mpc extended permit tcp any any object-group DM_INLINE_TCP_1
access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list encryptpackets extended permit ip 192.168.1.0 255.255.255.0 192.168.11.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu dmz 1500
mtu inside 1500
mtu management 1500
ip local pool RAPool 192.168.11.1-192.168.11.10 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 85.158.54.129 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 10.0.0.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set set1 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set set1
crypto dynamic-map dynmap 10 set reverse-route
crypto map MAP1 10 ipsec-isakmp dynamic dynmap
crypto map MAP1 interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map global-class
match access-list global_mpc
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny  
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip  
  inspect xdmcp
class global-class
  csc fail-close
!
service-policy global_policy global
group-policy RA internal
group-policy RA attributes
wins-server value 192.168.1.54
dns-server value 192.168.1.54
vpn-tunnel-protocol IPSec
default-domain value kamisever.ru
address-pools value RAPool
username user1 password IzFIX6IZbh5HBYwq encrypted
username user2 password zoYUx4sFkdKJRcJH encrypted
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool RAPool
default-group-policy RA
tunnel-group RA ipsec-attributes
pre-shared-key cisco
isakmp keepalive threshold 30 retry 10
prompt hostname context

Наверное что-то забыл или неправильно настроил. Подскажите пожалуйста что не так, а то уже голова дымится.

Большое спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco ASA Remote Access с помощью VPN Client"  
Сообщение от sh_ email(??) on 04-Авг-08, 16:30 
А покажите route print с компутера
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco ASA Remote Access с помощью VPN Client"  
Сообщение от VladimirX email(??) on 05-Авг-08, 11:38 
>А покажите route print с компутера

Спасибо, разобрался, действительно проблема в маршрутах была!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру