cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
Community Member

crear vpn remote access ipsec con anyconnect

Buenas, he creado un tunel ssl de acceso remoto desde mi pc, con anyconnect, a un firewall 5512x y funciona perfectamente. Me gustaría hacer un tunel ipsec desde un cliente anyconnect a dicho firewall 5512x. Alguien me puede ayudar con la configuracion del firewall y del cliente anyconnect?

Muchas gracias.

2 RESPUESTAS

Hola Pepe,

Hola Pepe,

Entiendo que tiene un AnyConnect VPN configurado en el ASA 5512X, y a la misma vez un tunel IPSec Lado a Lado, sí este es el escenario, si se puede configurar, en este caso te pongo un ejemplo: 

Escenario, El pool de IPs para los clientes de VPN es 192.168.1.1/24, y el ASA 5512X tiene un IPs internas 172.16.1.0/24, y en el otro lado del tunnel ya sea un Router o otro ASA estan las IPs 10.10.10.0/24:

172.16.1.0/24 <Internas>-ASA5512X <-------Tunel IPSec---> ASA remoto 10.10.10.0/24

                                                    |

                                                Anyconnect 192.168.1.0/24

1. Configuración de AnyConnect 
Primero, si tienes configurado (split-tunnel) con un access list standard, le debes agregar una linea con las IPs del otro lado del tunnel, ejemplo:

access-list ACCESO-SSL-VPN permit 10.10.10.0 255.255.255.0

group-policy AnyConnect_VPN attributes

    split-tunnel-policy tunnelspecified  --> Aca se declara si es Split tunnel o TunnelAll.

    split-tunnel-network-list value ACCESO-SSL-VPN

Nota: Ese ACL debe tener otras IPs (Las IPs, subnets y demás) que el usuario va a accesar sobre el tunel SSL y ese es el unico trafico encriptado, si usas tunnelALL significa que todo trafico se va sobre el SSL tunel y todo trafico es encriptado.

2. Tunel IPSec Lado a Lado:

Se debe agregar las red de Anyconnect (IP pool), al ACL que esta definido en el crypto map, para el tunel:

ASA5512X

access-list TUNEL_IPSEC permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0

crypto-map VPNsL2L 10 match address TUNEL_IPSEC

ASA-Remoto

access-list TUNEL_IPSEC permit ip  10.10.10.0 255.255.255.0 192.168.1.0 255.255.255.0

crypto-map VPNsL2L 10 match address TUNEL_IPSEC

3. Excepcion de NAT en el ASA5512X y en el remoto:

ASA5512X

    - Crear objectos con las IPs del Pool y las IPs remotas:

object network AnyConnect_Pool

   subnet 192.168.1.0 255.255.255.0

object network IPs_remotas

  subnet 10.10.10.0 255.255.255.0

   - Crear el NAT de donde lo usuarios se conectan y salir por la misma interfaz:

nat (outside,outside) 1 source static AnyConnect_Pool AnyConnect_Pool destination static IPs_remotas IPs_remotas no-proxy-arp route-lookup

 - Permitir hairpin(Enviar trafico que salga por la misma interface)

same security traffic permit intra-interface

Esa sería la configuración necesaria, para poder enviar trafico del AnyConnect hacia un VPN L2L, me avisas cómo te va con esta configuración,

Por favor no olvides calificar la respuesta y marcarla cómo correcta,

David Castro,

Community Member

Hola, muchas gracias por la

Hola, muchas gracias por la explicación pero el escenario es hacer un tunel de acceso remoto en "ipsec" en vez de "ssl", contra un firewall cisco asa 5512x. Si no se pudiera hacer con anyconnect, habría algún otro cliente de vpn que no esté descatalogado para configurarlo con ipsec?

Gracias

166
Visitas
5
ÚTIL
2
Respuestas
CrearPor favor para crear contenido