ShrewSoft zamiast Cisco VPN Client - problem z ACL

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
jeanas
member
member
Posty: 27
Rejestracja: 08 mar 2012, 16:02

ShrewSoft zamiast Cisco VPN Client - problem z ACL

#1

#1 Post autor: jeanas »

Witam
jakiś czas temu zastąpiłem Cisco VPN Client na rzecz ShrewSoft (raz: kłopoty na Win 7 x64 - łatka Citrix pomaga na chwilę, dwa: Windows 10 nie instaluje się w ogóle). Korzystam ze wcześniejszych skonfigurowanych profili i zdefiniowanych grup:

Kod: Zaznacz cały

crypto isakmp client configuration group ADMIN
 key xxxxxxxxxxxx
 pool VPN_POOL_ADMIN
 acl VPN_ADMIN
 netmask 255.255.255.0 
wszystko jest OK jesli ACL zdefiniowana jest z dostępem do całej podsieci:

Kod: Zaznacz cały

ip local pool VPN_POOL_ADMIN 10.10.10.1 10.10.10.254 
ip access-list extended VPN_ADMIN
 permit ip 172.18.0.0 0.0.255.255 10.10.10.0 0.0.0.255
ale jeśli dla innej grupy ACL ma pozwalać na ruch tylko do wybranych hostów, nie działa, w sensie nie ma komunikacja z żadnym adresem z podsieci LAN:

Kod: Zaznacz cały

crypto isakmp client configuration group CLIENT
 key xxxxxxxxxxxxxxxxx
 pool VPN_POOL_CLIENT
 acl VPN_CLIENT
 netmask 255.255.255.0 

ip local pool VPN_POOL_CLIENT 10.10.40.1 10.10.40.254
ip access-list extended VPN_CLIENT
 permit ip host 172.18.0.2 10.10.40.0 0.0.0.255
 permit ip host 172.18.0.3 10.10.40.0 0.0.0.255
 permit ip host 172.18.0.4 10.10.40.0 0.0.0.255
 permit ip host 172.18.0.5 10.10.40.0 0.0.0.255
 permit ip host 172.18.0.90 10.10.40.0 0.0.0.255
 permit ip host 172.18.10.160 10.10.40.0 0.0.0.255
 permit ip host 172.18.1.160 10.10.40.0 0.0.0.255 
tym samym nie mogę zablokować uzytkownikom mobilnym dostepu do pewnych zasobów. Nie wiam jak to rozwiązać. Prosze o pomoc i pozdrawiam. Piotr
Ostatnio zmieniony 25 kwie 2016, 14:41 przez jeanas, łącznie zmieniany 1 raz.

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#2

#2 Post autor: frontier »

A robiłeś jakiś debug? 10.10.40.0/24 jest routowane poprawnie? W ostatnim przykładzie masz pool VPN_POOL_CLIENT - powinno chyba być VPN_POOL_TGCLIENT? Dostajesz adres z 10.10.40.x czy 10.10.10.x?
Jeden konfig wart więcej niż tysiąc słów

jeanas
member
member
Posty: 27
Rejestracja: 08 mar 2012, 16:02

#3

#3 Post autor: jeanas »

Przeklejając kod zrobiłe błąd. Już poprawiłem w poscie. VPN_POOL_CLIENT jest w obydwu miejscach. adres dostaję odpowiedni 10.10.40.x.

Kod: Zaznacz cały

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.188     20
       10.10.40.0    255.255.255.0         On-link      10.10.40.109    286
     10.10.40.109  255.255.255.255         On-link      10.10.40.109    286
     10.10.40.255  255.255.255.255         On-link      10.10.40.109    286
     x.x.x.x       255.255.255.255      192.168.0.1    192.168.0.188     21
     x.x.x.x       255.255.255.255      192.168.0.1    192.168.0.188     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.18.0.2  255.255.255.255         On-link      10.10.40.109     31
       172.18.0.3  255.255.255.255         On-link      10.10.40.109     31
       172.18.0.4  255.255.255.255         On-link      10.10.40.109     31
       172.18.0.5  255.255.255.255         On-link      10.10.40.109     31
      172.18.0.90  255.255.255.255         On-link      10.10.40.109     31
     172.18.1.160  255.255.255.255         On-link      10.10.40.109     31
    172.18.10.160  255.255.255.255         On-link      10.10.40.109     31
      192.168.0.0    255.255.255.0         On-link     192.168.0.188    276
    192.168.0.188  255.255.255.255         On-link     192.168.0.188    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.188    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.188    276
        224.0.0.0        240.0.0.0         On-link      10.10.40.109    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.188    276
  255.255.255.255  255.255.255.255         On-link      10.10.40.109    286
===========================================================================

a w przypadku ACL do całej podsieci:

Kod: Zaznacz cały

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.188     20
       10.10.10.0    255.255.255.0         On-link      10.10.10.154    286
     10.10.10.154  255.255.255.255         On-link      10.10.10.154    286
     10.10.10.255  255.255.255.255         On-link      10.10.10.154    286
     x.x.x.x       255.255.255.255      192.168.0.1    192.168.0.188     21
    x.x.x.x        255.255.255.255      192.168.0.1    192.168.0.188     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.18.0.0      255.255.0.0         On-link      10.10.10.154     31
   172.18.255.255  255.255.255.255         On-link      10.10.10.154    286
      192.168.0.0    255.255.255.0         On-link     192.168.0.188    276
    192.168.0.188  255.255.255.255         On-link     192.168.0.188    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.188    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.188    276
        224.0.0.0        240.0.0.0         On-link      10.10.10.154    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.188    276
  255.255.255.255  255.255.255.255         On-link      10.10.10.154    286
===========================================================================


jeanas
member
member
Posty: 27
Rejestracja: 08 mar 2012, 16:02

#4

#4 Post autor: jeanas »

Dodam jeszcze, że te ACL i profile działają jesli używam Cisco VPN Client

Awatar użytkownika
polak
wannabe
wannabe
Posty: 294
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

#5

#5 Post autor: polak »

Spróbuj vpn-filter podpięte pod group-policy
King Kong ain't got shit on me!

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#6

#6 Post autor: frontier »

W ACL VPN_CLIENT zamiast 10.10.40.0/24 wpisz any. A w ogóle to pokaz show cry ips sa.
Jeden konfig wart więcej niż tysiąc słów

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

#7

#7 Post autor: piter1789 »

jak masz skonfigurowanego ShareSofta?

jeanas
member
member
Posty: 27
Rejestracja: 08 mar 2012, 16:02

#8

#8 Post autor: jeanas »

frontier pisze:W ACL VPN_CLIENT zamiast 10.10.40.0/24 wpisz any. A w ogóle to pokaz show cry ips sa.
ANY nie działa :(

Kod: Zaznacz cały

ip access-list extended VPN_CLIENT
 permit ip host 172.18.0.2 any
 permit ip host 172.18.0.90 any
show cry ips sa:

Kod: Zaznacz cały

local  ident (addr/mask/prot/port): (0.0.0.0/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (10.10.40.120/255.255.255.255/0/0)
   current_peer 77.65.87.145 port 13598
     PERMIT, flags={}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 6

     local crypto endpt.: x.x.x.x, remote crypto endpt.: 77.65.87.145
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet8
     current outbound spi: 0xD00C3EE6(3490463462)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xB8956BA1(3096800161)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 3, flow_id: Onboard VPN:3, sibling_flags 80000046, crypto map: CRYPTOMAP
        sa timing: remaining key lifetime (k/sec): (4379690/3548)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xD00C3EE6(3490463462)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 4, flow_id: Onboard VPN:4, sibling_flags 80000046, crypto map: CRYPTOMAP
        sa timing: remaining key lifetime (k/sec): (4379691/3548)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:


Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: ShrewSoft zamiast Cisco VPN Client - problem z ACL

#9

#9 Post autor: Kyniu »

jeanas pisze:Windows 10 nie instaluje się w ogóle
E tam, jak się wie co się robi, to działa.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

jeanas
member
member
Posty: 27
Rejestracja: 08 mar 2012, 16:02

Re: ShrewSoft zamiast Cisco VPN Client - problem z ACL

#10

#10 Post autor: jeanas »

Kyniu pisze:
jeanas pisze:Windows 10 nie instaluje się w ogóle
E tam, jak się wie co się robi, to działa.
Zmobilizowałeś mnie i wróciłem do Cisco VPN Client.
No dobrze zainstalować można. Ale nawet po poprawkach z
https://www.citrix.com/go/lp/dne.html
client terminuje się na routerze ale nie ma ruchu pomiędzy podsieciami.

Zainstalowałem przed Cisco Client innego klienta Dell SonicWall i w tej chwili działa.
Jesli możesz się podzielić sprawdzonym sposobem na Windowsa 10 to będę wdzięczny.

Na razie nie męczę juz tego ShrewSoft. Wątek nie rozwiązany.

Dziękuje i pozdrawiam

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: ShrewSoft zamiast Cisco VPN Client - problem z ACL

#11

#11 Post autor: Kyniu »

jeanas pisze: Zainstalowałem przed Cisco Client innego klienta Dell SonicWall i w tej chwili działa.
Jesli możesz się podzielić sprawdzonym sposobem na Windowsa 10 to będę wdzięczny.
No i właśnie sam doszedłeś do sprawdzonej i działającej metody ;)
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

jeanas
member
member
Posty: 27
Rejestracja: 08 mar 2012, 16:02

#12

#12 Post autor: jeanas »

Takie trochę czary-mary z tym SonicWall. Czy ktoś wie co naprawia instalacja tego dodatkowego klienta? Tak pytam z ciekawości... :)

ODPOWIEDZ