Windows VPN Client do Cisco IOS

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
b4n3
wannabe
wannabe
Posty: 128
Rejestracja: 25 cze 2010, 09:58

Windows VPN Client do Cisco IOS

#1

#1 Post autor: b4n3 »

Cześć,

Pytanie dla osób, które może wiedzą coś więcej na temat Windowsa i będą w stanie pomóc.

Ogólnie rzecz biorą sesje VPN z wbudowanego klienta windows udało mi się zestawić. Wszystko działa jak należy, problem, a może raczej wyzwanie jakie napotkałem to chęć wykonania split tunnel.
Z punktu widzenia routera, wszystko jest ustawione prawidłowo bo w

Kod: Zaznacz cały

crypto ikev2 authorization policy AUTH-POL
route set interface
route set access-list ACL-SPLIT
jak widać jest ustawiona aclka do splita. Problem jest taki, windows pcha wszystko w tunel, a jak zmienię mu opcję aby nie robił default to niestety wrzuca tylko wpis dla całej calsy podsieci, czyli jak ma adres z 10 to wrzuca 10/8.
Jedyne co udało mi się znaleźć to manualne dodanie wpisów w tablicy z poziomu windows

Kod: Zaznacz cały

route add <destination subnet> mask <subnet mask> 0.0.0.0 IF <VPN adapter number>
Gdyby ktoś miał może wiedzę lub spotkał się z czymś podobnym będę bardzo wdzięczny.
Na górę
dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#2

#2 Post autor: dawid.mitura »

Podaj config VPN RA Servera. Nie rozpoznaje tego.

W przypadku Splitt Tunneling na Cisco ASA dla musisz w Group Policy ustawic:

Kod: Zaznacz cały

group-policy GP-InternalEmployees attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value GPACL-Splitt-Tunnel
W przypadku Cisco ISR masz:

Kod: Zaznacz cały

crypto isakmp client configuration group RA-IPsec-XXX
 acl CACL-Splitt_Tunnel-XXX
 include-local-lan
Na górę
deletek
wannabe
wannabe
Posty: 67
Rejestracja: 20 sty 2012, 18:01

Re: Windows VPN Client do Cisco IOS

#3

#3 Post autor: deletek »

Windowsowy Native Client nie wspiera atrybutów wymienianych podczas ikev2 config exchange wspierających split-tunnel. W skrócie w IKEv2 nie da się wymienić sieci split-tunnel z Windows Native Clientem, który wspiera ten ficzer poprzez ... dhcp.

Działa to tak samo jak w L2TP (szukać "dhcp intercept"):
http://www.cisco.com/c/en/us/td/docs/se ... setup.html

Jako, że IOS nie wspiera DHCP Intercept nie zrobisz split-tunnelu z Windows Native Clientem.

Opcje są trzy:
1) Używać full tunnelingu lub magii z ręcznym routingiem na końcówkach
2) ASA i skonfigurowanie dhcp-intercept tak jak w L2TP (link powyżej)
3) AnyConnect

Pozdrawiam,
Na górę
ODPOWIEDZ

Wróć do „Security”