CCIE.pl

Masz na tej ASA nat ? Jeżeli tak to czy wyłączyłes ten ruch z translacji ??

access-list lan1 extended permit ip 10.52.240.0 255.255.240.0 10.170.33.0 255.255.255.0

?

DNS doctoring powinien Ci załatwić tą sprawę.

Marcin dokładnie o to mi chodziło - tylko ze ja wiem jak zrobić aby zadziałało - tego czego nie wiem to po co robić taki design

Tak da się tak zrobić i jest to opisane w linku który podałem we wcześniejszym poście.

A ty chcesz skonfigurować auth-proxy ? Tak aby użytkownicy się logowali na ASA i dopiero po tym dostawiali dostęp do określonych zasobów czy identity firewall spięty z AD ? Bo jak to drugie to konfig wygląda zupełnie inaczej i masz go tu: http://www.cisco.com/en/US/docs/security/asa/asa84/configurat...

Dzień i godzina ? Ja się pisze - co prawda dojadę po 20 ale chętnie przy piwie się spotkam.

Wywal jeszcze to, bo masz profil isakmp wiec Ci to niepotrzebne: crypto map cisco isakmp authorization list local_authorization Ewentualnie zmień na NETRAD. NIe to nie zmienia uwierzytelnienie użytkowników tylko zmienia sposób gdzie trzymasz parametry dla EZVPNA tu masz niezły opis jak to wygląda z ...

Masz konfigurację grupy lokalnie, zmień:
na

Eh, jak widać najprostsze rozwiązania są najlepsze ;) 1 - Materiały na cisco +plus własne laby, najlepsze opisy widziałem w workbookach do ccie, a tak to nie kojarzę jednego dokumentu który pokazywał by krok po kroku. Do tego warto zarejestrowac sie tu https://www.ciscolivevirtual.com/portal/login.w...

Hm no a tutaj jest dobrze czyli poprawnie zrobił match na profilu: *Mar 5 13:48:24.667: ISAKMP (0:134217730): ID payload next-payload : 8 type : 1 address : 200.1.1.3 protocol : 17 port : 500 length : 12 *Mar 5 13: R1#48:24.675: ISAKMP:(0:2:SW:1):: peer matches PROFIL_R3 profile Rozumiem ze w tym mo...

Ja testowałem w labie na 12.4(15)T dziwne jest to ze u Ciebie nie widać zeby trafił w profil tylko szuka po keyringach - ale być może w starszej wersji w debugu nie widać tego. Pokaż jeszcze debug z sytuacji kiedy połaczenie sie udaje.

Hej, przelabowałem na szybko ten scenariusz i u mnie zawsze wybiera best match: Konfig: crypto keyring spokes pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123 ! crypto keyring R01 pre-shared-key address 10.10.10.1 key KLUCZ03 ! crypto keyring R_ALL pre-shared-key address 10.10.10.0 255.255.255.0 ...

Hej. Troszkę mi to zajęło ale przeczytałem kilka razy ten artykuł. Jedno zdanie wzbudza moje wątpliwości w stosunku do tego co napisałeś: "To uniquely map to an ISAKMP profile, no two ISAKMP profiles should match the same identity. If the peer identity is matched in two ISAKMP profiles, the co...

Nie bo masz inne klucze pre-shared i jak sam napisałeś tunele w static crypto map próbują używać klucza zdefiniowanego dla wszystkich zdalnych IP. A tu będziesz miał po prostu kilka profili na podstawie których będzie wybierany dobry keyring. Jeżeli miałbyś np ezvpna to wystarczyłby jeden profil do ...

Użyj profili isakmp tutaj masz opis http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/prod_white_paper0900aecd8034bd59.html A dla twojego przypadku taka konfiguracja powinna działać: crypto keyring KLIENT_1 pre-shared-key address IP_KLIENT1 key xxxxxx ! crypto isakmp profile K...