Strona 1 z 2
anyconnect, połączenie pomiędzy klientami
: 06 lut 2013, 17:48
autor: admo
Witam,
chciałbym mieć możliwość aby użytkownicy cisco Anyconnect podłączeni do VPNa mogli sie logować po RDP pomiędzy sobą oraz aby z sieci firmowej 192.168.0.0/24 można sie bylo RDPowac na klientów 172.16.0.10 - 172.16.0.50
anyconnect 2.5, ASA code 8.4
Kod: Zaznacz cały
interface Ethernet0/1
description LAN
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
object-group network NO_NAT
network-object 172.16.0.0 255.255.0.0
access-list VPN_CLIENT_ACL standard permit 192.168.0.0 255.255.255.0
ip local pool AnyConnect_Client_Pool 172.16.0.10-172.16.0.50 mask 255.255.0.0
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-2.5.6005-k9.pkg 1 regex "Windows NT"
anyconnect enable
tunnel-group-list enable
group-policy AnyConnectClientPolicy internal
group-policy AnyConnectClientPolicy attributes
dns-server value 8.8.8.8 8.8.4.4
vpn-simultaneous-logins 15
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN_CLIENT_ACL
default-domain value test.com
address-pools value AnyConnect_Client_Pool
tunnel-group AnyConnect_Connection type remote-access
tunnel-group AnyConnect_Connection general-attributes
address-pool AnyConnect_Client_Pool
default-group-policy AnyConnectClientPolicy
tunnel-group AnyConnect_Connection webvpn-attributes
group-alias AnyConnect enable
czy sie da to sie zapewne da
, pomożecie?
: 06 lut 2013, 19:24
autor: debianek
ASDM:
Device Setup -> Interfaces
Zaznacz [v] Enable traffic between two or more hosts connected to the same interface
CLI:
Kod: Zaznacz cały
same-security-traffic permit intra-interface
Zapodaj sobie Packet Tracer'a ze swoimi adresami src i dst (jak ruch pomiędzy klientami vpn to interfejs wejsciowy to outside) to Ci pokaże na czym się ruch zatrzymuje (albo wpisy ACL albo reguły NAT):
ASDM:
Tools -> Packet Tracert
CLI:
Kod: Zaznacz cały
packet-tracer input outside icmp 172.16.0.10 8 8 464 172.16.0.20 xml
: 07 lut 2013, 10:27
autor: admo
w packet tracer ok ale polaczenie niestety nie dziala...
Kod: Zaznacz cały
TEMP-ASA-FW01# packet-tracer input inside tcp 192.168.0.200 9999 172.16.0.41 3389 det
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0xad793f68, priority=1, domain=permit, deny=false
hits=92490239, user_data=0x0, cs_id=0x0, l3_type=0x8
src mac=0000.0000.0000, mask=0000.0000.0000
dst mac=0000.0000.0000, mask=0100.0000.0000
input_ifc=inside, output_ifc=any
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 outside
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0xad798c48, priority=0, domain=inspect-ip-options, deny=true
hits=1589905, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=inside, output_ifc=any
Phase: 4
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static any any destination static NO_NAT NO_NAT
Additional Information:
Static translate 192.168.0.200/9999 to 192.168.0.200/9999
Forward Flow based lookup yields rule:
in id=0xad7e7670, priority=6, domain=nat, deny=false
hits=755, user_data=0xad1b6528, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=172.16.0.0, mask=255.255.0.0, port=0, dscp=0x0
input_ifc=inside, output_ifc=outside
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in id=0xad774058, priority=0, domain=inspect-ip-options, deny=true
hits=2298004, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=outside, output_ifc=any
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 2324147, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allo
: 07 lut 2013, 10:30
autor: admo
pomiedzy klientami anyconnect to samo.
Kod: Zaznacz cały
TEMP-ASA-FW01# packet-tracer input outside tcp 172.16.0.45 9999 172.16.0.$
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static any any destination static NO_NAT NO_NAT
Additional Information:
NAT divert to egress interface inside
Untranslate 172.16.0.41/3389 to 172.16.0.41/3389
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group OUTSIDE-ACL in interface outside
access-list OUTSIDE-ACL extended permit ip 172.16.0.0 255.255.255.0 172.16.0.0 255.255.255.0
Additional Information:
Forward Flow based lookup yields rule:
in id=0xae82ed50, priority=13, domain=permit, deny=false
hits=3, user_data=0xaa869c80, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=172.16.0.0, mask=255.255.255.0, port=0
dst ip/id=172.16.0.0, mask=255.255.255.0, port=0, dscp=0x0
input_ifc=outside, output_ifc=any
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0xad774058, priority=0, domain=inspect-ip-options, deny=true
hits=2298652, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=outside, output_ifc=any
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,outside) source static any any destination static NO_NAT NO_NAT
Additional Information:
Forward Flow based lookup yields rule:
out id=0xad7e74c0, priority=6, domain=nat-reverse, deny=false
hits=702712, user_data=0xad1b6528, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=172.16.0.0, mask=255.255.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=outside, output_ifc=inside
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in id=0xad798c48, priority=0, domain=inspect-ip-options, deny=true
hits=1590411, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=inside, output_ifc=any
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 2324802, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
: 08 lut 2013, 17:36
autor: admo
znalazłem podobny post jednak bez odpowiedzi..
https://supportforums.cisco.com/thread/2172177
a w logach mam:
Kod: Zaznacz cały
Routing failed to locate next hop for ICMP from outside:172.16.0.48/1 to inside:172.16.0.47/0
[/code]
: 09 lut 2013, 10:16
autor: debianek
admo pisze:a w logach mam:
Kod: Zaznacz cały
Routing failed to locate next hop for ICMP from outside:172.16.0.48/1 to inside:172.16.0.47/0
A dlaczego masz
form outside to inside, skoro to są klienci z VPNa czyli oboje są widoczni przez interfejs outside (wejsciowy jaki i wyjsciowy)?
Wklej całą konfigurację, to się zobaczy czego brakuje, czego jest za duzo.
: 11 lut 2013, 12:07
autor: admo
1 sprawa to nie moge sie RDPowac z sieci lokalnej 192.168.0.0/24 na uztkownika anconnecta (172.16.0.X) co oczwiscie powinno dzialac
2 sprawa to to ze nie moge sie laczc pomiedzy uztkownikami anconnecta bezpisrednio 172.16.0.x <-> 172.16.0.0
Kod: Zaznacz cały
interface Ethernet0/1
description LAN
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network All_Internal_to_outside
subnet 192.168.0.0 255.255.255.0
object network All_Internal_to_backup
subnet 192.168.0.0 255.255.255.0
object-group network NO_NAT
network-object 172.16.0.0 255.255.0.0
access-list OUTSIDE-ACL extended permit icmp any any echo-reply
access-list OUTSIDE-ACL extended permit icmp any any echo
access-list OUTSIDE-ACL extended permit icmp any any unreachable
access-list OUTSIDE-ACL extended permit icmp any any time-exceeded
access-list VPN_CLIENT_ACL standard permit 192.168.0.0 255.255.255.0
ip local pool AnyConnect_Client_Pool 172.16.0.10-172.16.0.50 mask 255.255.0.0
nat (inside,outside) source static any any destination static NO_NAT NO_NAT
nat (inside,backup) source static any any destination static NO_NAT NO_NAT
access-group OUTSIDE-ACL in interface outside
access-group OUTSIDE-ACL in interface backup
webvpn
enable outside
enable inside
enable backup
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-2.5.6005-k9.pkg 1 regex "Windows NT"
anyconnect enable
tunnel-group-list enable
group-policy AnyConnectClientPolicy internal
group-policy AnyConnectClientPolicy attributes
dns-server value 8.8.8.8 8.8.4.4
vpn-simultaneous-logins 15
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN_CLIENT_ACL
default-domain value test.com
address-pools value AnyConnect_Client_Pool
: 11 lut 2013, 12:33
autor: eljot
Tu może pomóc modyfikacja split tunnelingu. W twoim wypadku w tunel wpada tylko ruch do 192.168.0.0/24. Podobnie z packettracerów wynika, że ruch nie wpada do tunelu (brak sekcji VPN)
: 11 lut 2013, 13:20
autor: admo
czli mam dodać
access-list VPN_CLIENT_ACL standard permit 172.16.0.0 255.255.0.0
?
jesli tak to już to dodawałem, dalej nie moglem sie polaczc pomiedzy anconnectami oraz z 192.168.0.0 nie moglem RDP/icmp na uzytkownikow anconnecta 172.16.0.x
: 12 lut 2013, 11:52
autor: czaja200
Witam
Moim zdaniem, nie musisz tutaj modyfikować ustawień split tunnelingu
nie wprowadzaj tej modyfikacji
access-list VPN_CLIENT_ACL standard permit 172.16.0.0 255.255.0.0
1. Transmisja pomiędzy LAN a userami anyconnect.
Czy w obecnej konfiguracji klienci VPN mają dostęp do sieci LAN?
Czy jest jakakolwiek komunikacja z LAN do userów VPN? Czy tylko nie działają Ci pewne usługi?
Łatwiej było by szukać przyczyn, mając do wglądu całą konfigurację.
2. Komunikacja pomiędzy klientami VPN.
Sprawdź to:
Kod: Zaznacz cały
same-security-traffic permit intra-interface
object-group network vpn_pool
description Remote vpn subnet
network-object 172.16.0.0 255.255.0.0
nat (outside,outside) source static vpn_pool vpn_pool destination static vpn_pool vpn_pool
P.S.
jaką masz wersję softu?
---
MB
: 13 lut 2013, 09:44
autor: admo
1.
tak, klienci VPN maja full dostep do sieci LAN
Nie ma zadnej komunikacji z LAN do userów VPN
2. Komunikacja pomiędzy klientami VPN.
tez nie dzala
soft 8.4(2)
: 13 lut 2013, 09:47
autor: admo
a jak wywyalilem
access-list VPN_CLIENT_ACL standard permit 172.16.0.0 255.255.0.0
do otrzymuje na pingu (z cmd na Win7), General Failure, tak jakby lapek nie widzial sieci 172.16.x.x
: 13 lut 2013, 12:44
autor: czaja200
Tak na szybko
"strzelam" - masz włączone?
---
MB
: 13 lut 2013, 12:51
autor: admo
sysopt connection permit-vpn jest włączone..
: 13 lut 2013, 15:43
autor: czaja200
Wspomniałeś, że testujesz to na Windows 7, komp jest domenowy?
sprawdziłeś ustawienia firewall, do jakiego profilu masz przypisany adapter VPN
(może tu leży przyczyna, że np. z LAN-u nie masz dostępu do usera VPN ....)
Masz możliwość weryfikacji na XP?