Strona 1 z 1
ShrewSoft zamiast Cisco VPN Client - problem z ACL
: 25 kwie 2016, 14:28
autor: jeanas
Witam
jakiś czas temu zastąpiłem Cisco VPN Client na rzecz ShrewSoft (raz: kłopoty na Win 7 x64 - łatka Citrix pomaga na chwilę, dwa: Windows 10 nie instaluje się w ogóle). Korzystam ze wcześniejszych skonfigurowanych profili i zdefiniowanych grup:
Kod: Zaznacz cały
crypto isakmp client configuration group ADMIN
key xxxxxxxxxxxx
pool VPN_POOL_ADMIN
acl VPN_ADMIN
netmask 255.255.255.0
wszystko jest OK jesli ACL zdefiniowana jest z dostępem do całej podsieci:
Kod: Zaznacz cały
ip local pool VPN_POOL_ADMIN 10.10.10.1 10.10.10.254
ip access-list extended VPN_ADMIN
permit ip 172.18.0.0 0.0.255.255 10.10.10.0 0.0.0.255
ale jeśli dla innej grupy ACL ma pozwalać na ruch tylko do wybranych hostów, nie działa, w sensie nie ma komunikacja z żadnym adresem z podsieci LAN:
Kod: Zaznacz cały
crypto isakmp client configuration group CLIENT
key xxxxxxxxxxxxxxxxx
pool VPN_POOL_CLIENT
acl VPN_CLIENT
netmask 255.255.255.0
ip local pool VPN_POOL_CLIENT 10.10.40.1 10.10.40.254
ip access-list extended VPN_CLIENT
permit ip host 172.18.0.2 10.10.40.0 0.0.0.255
permit ip host 172.18.0.3 10.10.40.0 0.0.0.255
permit ip host 172.18.0.4 10.10.40.0 0.0.0.255
permit ip host 172.18.0.5 10.10.40.0 0.0.0.255
permit ip host 172.18.0.90 10.10.40.0 0.0.0.255
permit ip host 172.18.10.160 10.10.40.0 0.0.0.255
permit ip host 172.18.1.160 10.10.40.0 0.0.0.255
tym samym nie mogę zablokować uzytkownikom mobilnym dostepu do pewnych zasobów. Nie wiam jak to rozwiązać. Prosze o pomoc i pozdrawiam. Piotr
: 25 kwie 2016, 14:37
autor: frontier
A robiłeś jakiś debug? 10.10.40.0/24 jest routowane poprawnie? W ostatnim przykładzie masz pool VPN_POOL_CLIENT - powinno chyba być VPN_POOL_TGCLIENT? Dostajesz adres z 10.10.40.x czy 10.10.10.x?
: 25 kwie 2016, 14:55
autor: jeanas
Przeklejając kod zrobiłe błąd. Już poprawiłem w poscie. VPN_POOL_CLIENT jest w obydwu miejscach. adres dostaję odpowiedni 10.10.40.x.
Kod: Zaznacz cały
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.188 20
10.10.40.0 255.255.255.0 On-link 10.10.40.109 286
10.10.40.109 255.255.255.255 On-link 10.10.40.109 286
10.10.40.255 255.255.255.255 On-link 10.10.40.109 286
x.x.x.x 255.255.255.255 192.168.0.1 192.168.0.188 21
x.x.x.x 255.255.255.255 192.168.0.1 192.168.0.188 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.18.0.2 255.255.255.255 On-link 10.10.40.109 31
172.18.0.3 255.255.255.255 On-link 10.10.40.109 31
172.18.0.4 255.255.255.255 On-link 10.10.40.109 31
172.18.0.5 255.255.255.255 On-link 10.10.40.109 31
172.18.0.90 255.255.255.255 On-link 10.10.40.109 31
172.18.1.160 255.255.255.255 On-link 10.10.40.109 31
172.18.10.160 255.255.255.255 On-link 10.10.40.109 31
192.168.0.0 255.255.255.0 On-link 192.168.0.188 276
192.168.0.188 255.255.255.255 On-link 192.168.0.188 276
192.168.0.255 255.255.255.255 On-link 192.168.0.188 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.188 276
224.0.0.0 240.0.0.0 On-link 10.10.40.109 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.188 276
255.255.255.255 255.255.255.255 On-link 10.10.40.109 286
===========================================================================
a w przypadku ACL do całej podsieci:
Kod: Zaznacz cały
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.188 20
10.10.10.0 255.255.255.0 On-link 10.10.10.154 286
10.10.10.154 255.255.255.255 On-link 10.10.10.154 286
10.10.10.255 255.255.255.255 On-link 10.10.10.154 286
x.x.x.x 255.255.255.255 192.168.0.1 192.168.0.188 21
x.x.x.x 255.255.255.255 192.168.0.1 192.168.0.188 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.18.0.0 255.255.0.0 On-link 10.10.10.154 31
172.18.255.255 255.255.255.255 On-link 10.10.10.154 286
192.168.0.0 255.255.255.0 On-link 192.168.0.188 276
192.168.0.188 255.255.255.255 On-link 192.168.0.188 276
192.168.0.255 255.255.255.255 On-link 192.168.0.188 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.188 276
224.0.0.0 240.0.0.0 On-link 10.10.10.154 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.188 276
255.255.255.255 255.255.255.255 On-link 10.10.10.154 286
===========================================================================
: 25 kwie 2016, 14:59
autor: jeanas
Dodam jeszcze, że te ACL i profile działają jesli używam Cisco VPN Client
: 25 kwie 2016, 15:09
autor: polak
Spróbuj vpn-filter podpięte pod group-policy
: 25 kwie 2016, 17:28
autor: frontier
W ACL VPN_CLIENT zamiast 10.10.40.0/24 wpisz any. A w ogóle to pokaz show cry ips sa.
: 25 kwie 2016, 21:27
autor: piter1789
jak masz skonfigurowanego ShareSofta?
: 25 kwie 2016, 22:20
autor: jeanas
frontier pisze:W ACL VPN_CLIENT zamiast 10.10.40.0/24 wpisz any. A w ogóle to pokaz show cry ips sa.
ANY nie działa
Kod: Zaznacz cały
ip access-list extended VPN_CLIENT
permit ip host 172.18.0.2 any
permit ip host 172.18.0.90 any
show cry ips sa:
Kod: Zaznacz cały
local ident (addr/mask/prot/port): (0.0.0.0/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.10.40.120/255.255.255.255/0/0)
current_peer 77.65.87.145 port 13598
PERMIT, flags={}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 6
local crypto endpt.: x.x.x.x, remote crypto endpt.: 77.65.87.145
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet8
current outbound spi: 0xD00C3EE6(3490463462)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xB8956BA1(3096800161)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 3, flow_id: Onboard VPN:3, sibling_flags 80000046, crypto map: CRYPTOMAP
sa timing: remaining key lifetime (k/sec): (4379690/3548)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xD00C3EE6(3490463462)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 4, flow_id: Onboard VPN:4, sibling_flags 80000046, crypto map: CRYPTOMAP
sa timing: remaining key lifetime (k/sec): (4379691/3548)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Re: ShrewSoft zamiast Cisco VPN Client - problem z ACL
: 25 kwie 2016, 22:40
autor: Kyniu
jeanas pisze:Windows 10 nie instaluje się w ogóle
E tam, jak się wie co się robi, to działa.
Re: ShrewSoft zamiast Cisco VPN Client - problem z ACL
: 26 kwie 2016, 16:43
autor: jeanas
Kyniu pisze:jeanas pisze:Windows 10 nie instaluje się w ogóle
E tam, jak się wie co się robi, to działa.
Zmobilizowałeś mnie i wróciłem do Cisco VPN Client.
No dobrze zainstalować można. Ale nawet po poprawkach z
https://www.citrix.com/go/lp/dne.html
client terminuje się na routerze ale nie ma ruchu pomiędzy podsieciami.
Zainstalowałem przed Cisco Client innego klienta Dell SonicWall i w tej chwili działa.
Jesli możesz się podzielić sprawdzonym sposobem na Windowsa 10 to będę wdzięczny.
Na razie nie męczę juz tego ShrewSoft. Wątek nie rozwiązany.
Dziękuje i pozdrawiam
Re: ShrewSoft zamiast Cisco VPN Client - problem z ACL
: 26 kwie 2016, 18:52
autor: Kyniu
jeanas pisze:
Zainstalowałem przed Cisco Client innego klienta Dell SonicWall i w tej chwili działa.
Jesli możesz się podzielić sprawdzonym sposobem na Windowsa 10 to będę wdzięczny.
No i właśnie sam doszedłeś do sprawdzonej i działającej metody
: 26 kwie 2016, 21:14
autor: jeanas
Takie trochę czary-mary z tym SonicWall. Czy ktoś wie co naprawia instalacja tego dodatkowego klienta? Tak pytam z ciekawości...