Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Community Member

Anyconnect VPN - отваливается инет

Cisco ASA 5505 (версия 9.х)

Стандартно включена функция впн AnyConnect (SSL, стандартный клиент  Cisco Secure Mobility client). При работе на стороне клиента этот впн-клиеент вырубает как локалку так и вообще доступ к интернету перезаписывая дефолтный гейт. Локалку удалось включить настройками "Split Tunneling", но при этом сам деф.гейт остаётся и интернет так и недоступен на клиентах ...

Вопрос: можно ли пофиксить, что бы на клиенте тунелилась только нужная подсеть предприятия, а остальной трафик шёл бы на клиенте привычным способом?

 

PS если нет - будет ли работать какой-н другой тип впн-а на циске т.о. - например общий IPsec IKEv1 ?

 

PPS и ещё вопрос, при публикации впн сервиса, визард включает web-страницу на которое клиент может ввести логин\пароль и скачать мобильный впн клиент, но при этом же пропадает страница центральная где можно скачать ADSM и т.д. Можно как-то пофиксить что бы обе отображались?

3 ОТВЕТ.
Cisco Employee

Это решается split-tunneling.

Это решается split-tunneling. У вас вероятно что-то с настройкой не так.

Есть еще L2TP/IPSec.

В ASDM надо заходить https://1.2.3.4/admin

Community Member

Приветствую! Спасибо за ответ

Приветствую! Спасибо за ответ!

1. А что не так с натсройками? Пытался сделать как написано вот в этой доке: 

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/70917-asa-split-tunnel-vpn-client.html

Собственно вот эти картинки: 

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/70917-asa-split-tunnel-vpn-client-28.gif

Т.е. определяю опцию, что тунелить надо только определённую подсеть и потом ниже выделяю подсеть корпаративную которая за циской и к которой нужен доступ по впн ... Но всё равно тунелит весь трафик... Единственное что удалось это локальную сеть включить опцией "Exclude"

 

По ASDM - спасибо, буду пробовать...!

 

PS да, с IPSec впн виндовы тоже поиграюсь, он просто что от сразу не завёлся ...

Cisco Employee

Такого быть не должно. Надо

Такого быть не должно. Надо смотреть конфиг и в какую tunnel-group / group-policy попадает юзер при подключении ("show vpn-sessiondb detail anyconnect", "show run group-policy", "show access-list"). ASA пока не позволяет иметь одновременно split-include (split tunneling) и split-exclude, но обычно достаточно split-include. Проблемы могут быть, если local LAN входит или совпадает со split-include ACL, но они тоже решаются в зависимости от версии AnyConnect. Проблем с доступом в Internet при split-include быть не должно. Или они вызваны какими-то побочными вещами, например правилами firewall. Это windows? Что в "netstat -rn" после подключения в режиме split tunneling? Версия AnyConnect?


 

1356
Просмотры
10
Полезный материал
3
Ответы
СоздатьДля создания публикации, пожалуйста в систему