CCIE.pl

Bedi pisze:Try this

Kod: Zaznacz cały

access-list bielsko_test_vpnfilter extended permit tcp host 192.168.17.1 eq host 192.168.10.15 

Zapomniałeś dodać port 22

Witam, Mam zestawiony tunel ipsec pomiędzy naszą asą 5510 a urządzeniem klienta. Z naszej strony są podsieci ABC a drugiej podsieć D. W tym momencie jest możliwa komunikacja dwukierunkowa. Chciałbym aby komunikacja mogła być nawiązywana tylko z podsieci ABC do D a odwrotnie nie. Mogę stworzyć jakąś...

!.http://www.cisco.com/c/en/us/td/docs/se ... #wp1186909

2. Drugie to zrób NAT exempt z sieci WLAN (10.10.20.0) do IP Interfejsu Public (1.1.1.1) na którego zapinasz VPNa

3. ACL zezwalająca na ruch do VPNa

jeśli odpalisz routing na tym switchu to tak.

I wypłynął ciekawy dokument: https://www.documentcloud.org/documents/2653542-Juniper-Opportunity-Assessment-03FEB11-Redacted.html Faktycznie ciekawy dokument, pokazuje obawę NSA o rosnącym udziale junipera na runku i braku konkretnych exploitów na platformę junos co stanowi potencjalny problem w św...

Nie wiem. Przeczytaj tą listę.

http://www.cisco.com/c/en/us/td/docs/se ... html#50902

Spoko, a CISCO nie miało swoich problemów.. ;) Temat dotyczy urządzeń end of life od dawna, a jednak wrzucili poprawkę. Dodatkowo aby móc odpalić sesję SSH trzeba było być w permitted IP jako manager, to jedno. Kolejna sprawa to należy znać nazwę konta, które istnieje w systemie aby móc użyć tego ha...

ehh.. Weź może po prostu skorzystaj np z tego http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100678-l2l-asa5505-config.html albo https://supportforums.cisco.com/document/12014721/basic-site-site-vpn-template-example-asa-84-ikev1 I wykonaj konfigurację ...

Na "grafie" nie ma interfejsu adsl. Skoro VPN nie ma mieć dostępu do BDI to po co NAT? Ogólnie po co NATujesz ruch VPN do BDI, przecież masz crypto na natywnej adresacji.. ACL w tunnel-group nie są potrzebne by default. ACL na interfejsach czyli access-group nazwa_aclki nameif in są potrze...

HOST, który chyba tutaj jest 5520 ma zły routing albo złą acl matchującą traffic do tunelu. Tak jak napisałeś może też być błędny nat. Jeśli ma 5520 inne tunele to sprawdź czy ten ruch nie wpada w crypto z niższym numerem sekwencyjnym.
wrzuć konfigurację!!

Wrzuć konfigurację i sprawdź czy po stronie 5520 nie tnie tego jakąś aclka. Sprawdź show crypto session i countery czy enc i dec rosną przy pingu na adres który Tobie nie działa.

Mi HP blokowało porty jak ruch IP był z większym MTU niż 1500
Może warto pójść tym tropem?

A czemu miałoby się nie dać. Jak OpenVPN wspiera odpowiednio VPN po nacie to będzie działać

Dla win 8.1 proponuje użyć https://www.shrew.net/download/vpn
Działa spoko, nie miałem problemów jeszcze ale wiesz.. to open source jest więc różnie to bywa. Można importować ciscowe pcf.

Spróbuj dodać Sprawdź też jak wygląda routing po podłączeniu się klienta VPN, (sh ip route), czy pojawia się wpis static z IP który dostał klient.