отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

ASA 5510 доступ ко внутренним адресам ASA через AnyConnect

Есть 2 интерфейса outside и inside. AnyConnect привязан к outside. После установки соединения имею доступ к сети, подключенной к интерфейсу inside, но к адресу, установленному на самом интерфейсе доступа нет.

Конфиг:

: Saved
!
ASA Version 9.1(2) 
!
hostname KI-SECURITY-ONE
domain-name ...
enable password ...
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd ... encrypted
no names
dns-guard
ip local pool RA_VPN_POOL 10.100.100.1-10.100.100.254 mask 255.255.255.0
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 10.12.10.30 255.255.255.0  (внешний измененный адрес)
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.4.222 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 management-only
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
boot system disk0:/asa912-k8.bin
ftp mode passive
clock timezone ...
dns server-group DefaultDNS
 domain-name ...
same-security-traffic permit intra-interface
object network N1_LAN
 subnet 192.168.4.0 255.255.255.0
object network N2_POOL
 subnet 10.255.248.0 255.255.248.0
object network N1_POOL
 subnet 10.100.100.0 255.255.255.0
access-list RA_VPN_ACL extended permit ip 10.100.100.0 255.255.255.0 192.168.4.0 255.255.255.0 
access-list RA_VPN_ACL extended permit ip 10.100.100.0 255.255.255.0 10.216.237.0 255.255.255.0 (измененная реальная подсеть)
access-list RA_VPN_ACL extended permit ip 10.100.100.0 255.255.255.0 host 192.168.13.2 
access-list RA_VPN_ACL extended permit ip 10.100.100.0 255.255.255.0 10.100.100.0 255.255.255.0 
access-list RA_VPN_SplitTunnel_ACL standard permit 10.216.237.0 255.255.255.0 (измененная реальная подсеть)
access-list RA_VPN_SplitTunnel_ACL standard permit 192.168.4.0 255.255.255.0 
access-list RA_VPN_SplitTunnel_ACL standard permit host 192.168.13.2 
access-list RA_VPN_SplitTunnel_ACL standard permit 10.100.100.0 255.255.255.0 
access-list outside_1_cryptomap extended permit ip 10.100.100.0 255.255.255.0 10.216.237.0 255.255.255.0 (измененная реальная подсеть)
access-list outside_1_cryptomap extended permit ip 192.168.4.0 255.255.255.0 10.255.248.0 255.255.248.0 
access-list outside_1_cryptomap extended permit ip 10.100.100.0 255.255.255.0 host 192.168.13.2 
pager lines 24
logging enable
logging timestamp
logging buffer-size 1000000
logging monitor debugging
logging flash-bufferwrap
logging class vpn buffered notifications 
logging class svc buffered notifications 
no logging message 710005
mtu outside 1500
mtu inside 1500
mtu management 1500
no failover
no monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-712-102.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,any) source static N1_LAN N1_LAN destination static N2_POOL N2_POOL no-proxy-arp
nat (inside,any) source static N1_POOL N1_POOL destination static N2_POOL N2_POOL no-proxy-arp
route outside 0.0.0.0 0.0.0.0 10.12.10.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL 
http server enable
http 10.100.100.0 255.255.255.0 outside (не работает по той же причине)
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec ikev1 transform-set RA_VPN_SET esp-aes-256 esp-sha-hmac 
crypto ipsec ikev2 ipsec-proposal RA_VPN_SET
 protocol esp encryption aes-256
 protocol esp integrity sha-1
crypto ipsec ikev2 ipsec-proposal AES256
 protocol esp encryption aes-256
 protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map RA_VPN_MAP 65535 set ikev1 transform-set RA_VPN_SET
crypto dynamic-map RA_VPN_MAP 65535 set ikev2 ipsec-proposal AES256
crypto map RA_VPN 1 match address outside_1_cryptomap
crypto map RA_VPN 1 set peer 10.216.237.180 
crypto map RA_VPN 1 set ikev1 transform-set RA_VPN_SET
crypto map RA_VPN 1 set ikev2 ipsec-proposal RA_VPN_SET
crypto map RA_VPN 10 ipsec-isakmp dynamic RA_VPN_MAP
crypto map RA_VPN interface outside
crypto ca trustpoint ki-security-one
 enrollment self
 fqdn ...
 subject-name CN=...
 crl configure
crypto ca trustpool policy
crypto ca certificate chain ki-security-one
 certificate ...
  quit
crypto isakmp identity address 
crypto ikev2 policy 1
 encryption aes-256
 integrity sha256
 group 21 14 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint ki-security-one
crypto ikev1 enable outside
crypto ikev1 policy 5
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime none
telnet timeout 5
ssh 10.100.100.0 255.255.255.0 outside (не работает по той же причине)
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 5
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0
no threat-detection basic-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 91.206.186.40
ntp server 94.158.46.253
ntp server 92.249.120.2
ssl encryption aes256-sha1 rc4-sha1 3des-sha1
ssl trust-point ki-security-one outside
webvpn
 enable outside
 no anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
group-policy RA_VPN_Policy internal
group-policy RA_VPN_Policy attributes
 dns-server value 8.8.8.8
 vpn-simultaneous-logins 1
 vpn-idle-timeout none
 vpn-session-timeout none
 vpn-filter value RA_VPN_ACL
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value RA_VPN_SplitTunnel_ACL
group-policy GroupPolicy_AnyConnect internal
group-policy GroupPolicy_AnyConnect attributes
 wins-server none
 dns-server none
 vpn-simultaneous-logins 1
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value RA_VPN_SplitTunnel_ACL
 default-domain value ...
 webvpn
  anyconnect profiles value AnyConnect_client_profile type user
username ...

.....................

tunnel-group RA_VPN type remote-access
tunnel-group RA_VPN general-attributes
 address-pool RA_VPN_POOL
 default-group-policy RA_VPN_Policy
tunnel-group RA_VPN ipsec-attributes
 ikev1 pre-shared-key ......
 isakmp keepalive disable
tunnel-group 10.216.237.180 type ipsec-l2l (адрес изменен)
tunnel-group 10.216.237.180 ipsec-attributes (адрес изменен)
 ikev1 pre-shared-key ....
 ikev2 remote-authentication pre-shared-key ...
 ikev2 local-authentication pre-shared-key ....
tunnel-group AnyConnect type remote-access
tunnel-group AnyConnect general-attributes
 address-pool RA_VPN_POOL
 default-group-policy GroupPolicy_AnyConnect
tunnel-group AnyConnect webvpn-attributes
 group-alias AnyConnect enable
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect icmp 
  inspect ip-options 
!
service-policy global_policy global
prompt hostname context 
no call-home reporting anonymous
Cryptochecksum:.......
: end 

5 ОТВЕТ.

А в лог что пишет при попытке

А в лог что пишет при попытке соединения?

New Member

6Jun 26 201410:02:2111000210

6Jun 26 201410:02:2111000210.100.100.2360435  Failed to locate egress interface for TCP from outside:10.100.100.23/60435 to 192.168.4.222/444

 

При этом например на адрес 192.168.4.15, который находится дальше по сети, я замечательно прохожу через 192.168.4.222 и интерфейс обнаруживается без проблем...

Попробуйте после "nat (inside

Попробуйте после "nat (inside,any) source static N1_LAN N1_LAN destination static N2_POOL N2_POOL no-proxy-arp" дописать "route-lookup". Не уверен, но может помочь. Или что-то сломать.

New Member

Не помогло (

Не помогло (

New Member

Похожая проблема. Долго с ней

Похожая проблема. Долго с ней бились.

В итоге на форумах ответили – трафик не может пройти через один интерфейс asa два раза. А по логике он так и следует, т.е. попадая в outside, проходит в inside, и далее опять в inside.

Это ни в коем случае не ответ … Я бы тоже хотел услышать ответ экспертов.

143
Просмотры
0
Полезный материал
5
Ответы