The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Настройка U-turn для VPN траффика в Cisco ASA 5510"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Настройка U-turn для VPN траффика в Cisco ASA 5510"  +/
Сообщение от Alex Kuzmin on 28-Дек-09, 23:50 
Коллеги, требуется ваша помощь!
Имеем:
Cisco ASA 5510 (IOS 8.0.4 - последний).
В данный девайс напрямую заходит Ethernet интернет канал от провайдера. Больше в девайс ничего не входит.
Необходимо сделать так, чтобы пользователь мог подключится к Cisco по VPN и затем имел выход в интернет уже через PAT на Cisco. Т.е. трафик по туннелю входит в Cisco и затем выходит из нее через тот же порт уже "от имени" ip адреса данного порта.

Я настроил SSL VPN через Cisco AnyConnect VPN клиент. Соединение устанавливается и ПК получает ip из выделенного ему пула адресов 192.168.10.x.
Также интернет c самой Cisco есть - через CLI все пингуется, имена резолвятся.

НО! ПК подсоединенный по VPN интернета не видит вообще.

same-security-traffic permit intra-interface в конфиге есть. Gateway of last resort установлен шлюз провайдера.

Вопрос: где я недонастроил?

VPN цепляется на ip 212.248.39.45. При подключении по VPN клиенту выдается ip 192.168.10.1. После подключения по VPN 212.248.39.45 пингуется и более ничего, в том числе и gateway of last resort.
В свойствах VPN подключения на ПК я вижу что Шлюз задан как 192.168.10.2. Видимо в этом затык, так как такой адрес никакой порт в Cisco не имеет, а шлюз провайдера 212.248.39.41. Понятно что шлюз должен быть в той же подсети что и хост, но как настроить проброс трафика с VPN на 212.248.39.41 я никак не придумаю.

Вот собственно весь конфиг:
(Ethernet 0/0 используется только для ASDM, который кстати запустить мне так и не удалось, но это другая история (как я уже выяснил там надо даунгредить Java на машине, с которой запускается ASDM - завтра буду как раз его ковырять :))

: Saved
:
ASA Version 8.0(4)
!
hostname ciscoasa
domain-name mfc
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
  nameif inside
  security-level 100
  ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/1
  nameif outside
  security-level 0
  ip address 212.248.39.45 255.255.255.248
!
interface Ethernet0/2
  shutdown
  no nameif
  no security-level
  no ip address
!
interface Ethernet0/3
  shutdown
  no nameif
  no security-level
  no ip address
!
interface Management0/0
  shutdown
  no nameif
  no security-level
  no ip address
!
boot system disk0:/asa804-k8.bin
ftp mode passive
dns domain-lookup outside
dns server-group DefaultDNS
  name-server 83.242.139.10
  name-server 83.242.140.10
  domain-name mfc
same-security-traffic permit intra-interface
pager lines 24
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
nat (outside) 1 192.168.10.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 212.248.39.41 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa local authentication attempts max-fail 16
http server enable
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
  enable outside
  svc image disk0:/anyconnect-win-2.2.0140-k9.pkg 1
  svc enable
  tunnel-group-list enable
group-policy clientgroup internal
group-policy clientgroup attributes
  vpn-tunnel-protocol svc
  split-tunnel-policy tunnelall
  webvpn
    svc keep-installer installed
    svc rekey time 30
    svc rekey method ssl
username ****** password ********* encrypted
username ****** password ********* encrypted
tunnel-group sslgroup type remote-access
tunnel-group sslgroup general-attributes
address-pool vpnpool
  default-group-policy clientgroup
tunnel-group sslgroup webvpn-attributes
  group-alias sslgroup_users enable
!
class-map inspection_default
  match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
  parameters
    message-length maximum 512
policy-map global_policy
  class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect netbios
    inspect rsh
    inspect rtsp
    inspect skinny
    inspect esmtp
    inspect sqlnet
  inspect sunrpc
    inspect tftp
    inspect sip
    inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:74faec473e8bd7d30401164c6f0e9da4
: end

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка U-turn для VPN траффика в Cisco ASA 5510"  +/
Сообщение от Александр email(??) on 30-Дек-09, 08:47 
в ASA есть очень хороший инструмент под названием ASDM
там можно открыть мониторинг, и в логах посмотреть что где у Вас блокируется.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру