The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Windows L2TP to ASA & split tunneling"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Windows L2TP to ASA & split tunneling"  +/
Сообщение от And_V email(ok) on 25-Июл-08, 21:34 
Дайте помощь пожалуйста.
Настроил подключение РС к ASA.
Либо Cisco VPN CLientом либо виндовым встроенным клиентом. Подключается и так и так.
Но в первом случае особых проблем нет. Настраиваю сплит туннелинг, инет работает через внешний адрес, через впновский работает внутренняя сеть. Всё как и положено.
Причём в таблице маршрутизации компа всё так и отображается.
Но когда подключаюсь виндовым клиентом, такое ощущение, что он игнорирует все цискины настройки. Сплит туннелинг, сети все прописаны, всё так же как и для цисковского клиента. Но в зависимости от галочки в дополнительных сетевых настройках у меня либо остаётся инет, отсутствует доступ к частной сети, либо наоборот, инет пропадает, в частную сеть хожу. Причём если вручную прописать маршруты на компе - всё к желаемому виду приходит.
Подскажите пожалуйста, в каком месте надо что прописать?

group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ASA-Inside

ASA-Inside описывает сети, на которые должен трафик идти в туннель.
То же самое что и для цисковского клиента.


username winclnt password KLbUg== nt-encrypted
username winclnt attributes
vpn-group-policy DefaultRAGroup
vpn-tunnel-protocol l2tp-ipsec
service-type remote-access
tunnel-group DefaultRAGroup general-attributes
address-pool winvpnIP
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2


tunnel-group-map enable rules
no tunnel-group-map enable ou
no tunnel-group-map enable peer-ip
prompt hostname context

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Windows L2TP to ASA & split tunneling"  +/
Сообщение от Ярослав Росомахо email(ok) on 26-Июл-08, 13:43 
>Но когда подключаюсь виндовым клиентом, такое ощущение, что он игнорирует все цискины
>настройки. Сплит туннелинг, сети все прописаны, всё так же как и
>для цисковского клиента.

Виндовый клиент не поддерживает сплит тунелинг. Единственный вариант - прописывать руками (или скриптом) маршруты после соединения на клиентской машине.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Windows L2TP to ASA & split tunneling"  +/
Сообщение от Евгений (??) on 14-Ноя-08, 10:11 
>>Но когда подключаюсь виндовым клиентом, такое ощущение, что он игнорирует все цискины
>>настройки. Сплит туннелинг, сети все прописаны, всё так же как и
>>для цисковского клиента.
>
>Виндовый клиент не поддерживает сплит тунелинг. Единственный вариант - прописывать руками (или
>скриптом) маршруты после соединения на клиентской машине.

Если речь идет о виндовом варианте Cisco VPN Client, то в настройках подключения, вкладка "Transport" есть галочка "Allow Local LAN Access". Ессно, на впн-сервере должен быть правильно настроен сплит туннелинг. Все работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Windows L2TP to ASA & split tunneling"  +/
Сообщение от Andrew Kolchoogin on 13-Янв-10, 01:00 
> Если речь идет о виндовом варианте Cisco VPN Client,

Нет.

> то в настройках подключения, вкладка "Transport" есть галочка
> "Allow Local LAN Access".

Нет.

> Ессно, на впн-сервере должен быть правильно настроен
> сплит туннелинг. Все работает.

Нет.

"Слышал звон, да не знаю, где он".

Во-первых, речь идёт не о Windows Cisco VPN Client'е, а о встроенном в Windows L2TP-клиенте. Начиная с Windows XP, он там есть, но, к сожалению, Цискины атрибуты о параметрах сплит-туннеля он игнорирует, так что выход только один -- прописывать скриптом маршруты.

Во-вторых, галочка "Allow Local LAN Access" -- это НЕ split tunneling.

В-третьих, если на Cisco НАСТРОЕН split tunneling, то эта "галочка" вообще игнорируется.

Если на Cisco настроить Split Tunneling, тогда Linux'овый Cisco VPN Client (он консольный) _всегда_ будет писать "Local LAN Access Disabled", даже если в .pcf'ку вбить в это поле единичку, а в цискин конфиг дополнительно к параметру "acl такой-то он там" вбить "include-local-lan" -- сплит-туннелинг "перебивает" значение этого параметра.

А если уж хочется пользоваться именно им, то сплит-туннелинга быть НЕ должно (параметр "acl" в описании группы должен ОТСУТСТВОВАТЬ), а опция доступа к локальной сети должна БЫТЬ (параметр "include-local-lan" в описании группы должен ПРИСУТСТВОВАТЬ), а то галочка неактивной будет.

Читайте доки -- они рулят! :) Впрочем, если начать конфигурировать профиль группы, набрать в консоли Циски "include-local-lan ?", то она напишет, что эта опция разрешает доступ к локальной сети БЕЗ split-tunneling, что таки наводит на мысли. :)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру