Brak ping'ów po Vpn'ie

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
mixtype
fresh
fresh
Posty: 8
Rejestracja: 17 lut 2014, 21:19

Brak ping'ów po Vpn'ie

#1

#1 Post autor: mixtype »

Cześć,
próbuje zestawić połączenie IPsec remote-access VPN, zrobiłem wszystko zgodnie ze started guide'em (zrobiłem dwa dla interfejsu "inside" i dla "old"). Client łączy się pomyślnie z Asa'ą otrzymuje adres z puli vpn, niestety ping'i jak i korzystanie z innych zasobów w "inside" czy "old" jest nieosiągalne.

Config

Czy coś namieszałem a może brakuje czegoś w static route, crypto map'ie??

Dzięki za wskazówki

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#2

#2 Post autor: frontier »

Popraw access listy.
Jeden konfig wart więcej niż tysiąc słów

mixtype
fresh
fresh
Posty: 8
Rejestracja: 17 lut 2014, 21:19

#3

#3 Post autor: mixtype »

old_nat0_outbound i inside_nat0_outbound??


Jestem początkujący więc proszę o cierpliwość :|

mixtype
fresh
fresh
Posty: 8
Rejestracja: 17 lut 2014, 21:19

#4

#4 Post autor: mixtype »

frontier może powiedzieć co dokładnie ??

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#5

#5 Post autor: frontier »

Co znaczy ta access lista?

Kod: Zaznacz cały

access-list inside_nat0_outbound extended permit ip host 10.0.0.0 209.165.201.0 255.255.255.224
A w ogóle to po co uzywasz publicznych adresów dla klientów?
Jeden konfig wart więcej niż tysiąc słów

Awatar użytkownika
lxs
wannabe
wannabe
Posty: 177
Rejestracja: 08 sty 2014, 16:27
Lokalizacja: 52.182098, 21.005445

#6

#6 Post autor: lxs »

Nie wgłębiałem się za bardzo w konfigurację, ale rażą wpisy "ip host 10.0.0.0" i "ip host 192.168.0.0". Domyślam się, że autorowi chodziło o przepiszczenie sieci 10/24 i 192.168/24, a nie hostów 10.0.0.0 i 192.168.0.0

mixtype
fresh
fresh
Posty: 8
Rejestracja: 17 lut 2014, 21:19

#7

#7 Post autor: mixtype »

Ta acl'ka dodała się z z wiazrd'u VPN IpSec'a.
Ogólnie to scenerio jest takie:

A_Vpn ----(tunnel 209.165.201.1-20)-----ASA------inside (10.0.0.0/24)
B_Vpn ----(tunnel 192.168.134.1-20)-----ASA------old (192.168.0.0/24)

Użytkownik po zestawieniu połączenia vpn, w zależności od vpn'a (A_vpn lub B_vpn), powinien mieć dostęp do zasobów danej sieci lokalnej po ip jaki po hostname'mie.

Adresacja 209.165.201.1-20 zaczerpnięta z Started guide'a, ale co to za różnica czy publiczny czy prywatny? Jeśli tak to proszę o wyjaśnienie.

lxs dokładnie o przepuszczenie sieci, już poprawiam.

Frontier zmieniłem z
access-list inside_nat0_outbound extended permit ip host 10.0.0.0 209.165.201.0 255.255.255.224
access-list old_nat0_outbound extended permit ip host 192.168.0.0 192.168.134.0 255.255.255.240
na
access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.255.255.0 209.165.201.0 255.255.255.224
access-list old_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.134.0 255.255.255.240

tymi acl'mi chce zewolić na ruch z sieci wewenetrznej do tunelu dobrze ???

jak sprawdzam na pakiet tracer'rze to niby icmp-echo na outside na 10.0.0.1 z source'm 206.165.201.1 przechodzi ale w rzeczywistości nie ;/

ODPOWIEDZ