CCIE.pl

site 4 CCIE wannabies
https://ccie.pl/

ShrewSoft zamiast Cisco VPN Client - problem z ACL

https://ccie.pl/viewtopic.php?f=44&t=22317

Strona 1 z 1

ShrewSoft zamiast Cisco VPN Client - problem z ACL

: 25 kwie 2016, 14:28
autor: jeanas
Witam
jakiś czas temu zastąpiłem Cisco VPN Client na rzecz ShrewSoft (raz: kłopoty na Win 7 x64 - łatka Citrix pomaga na chwilę, dwa: Windows 10 nie instaluje się w ogóle). Korzystam ze wcześniejszych skonfigurowanych profili i zdefiniowanych grup:

Kod: Zaznacz cały

crypto isakmp client configuration group ADMIN
 key xxxxxxxxxxxx
 pool VPN_POOL_ADMIN
 acl VPN_ADMIN
 netmask 255.255.255.0
wszystko jest OK jesli ACL zdefiniowana jest z dostępem do całej podsieci:

Kod: Zaznacz cały

ip local pool VPN_POOL_ADMIN 10.10.10.1 10.10.10.254 
ip access-list extended VPN_ADMIN
 permit ip 172.18.0.0 0.0.255.255 10.10.10.0 0.0.0.255
ale jeśli dla innej grupy ACL ma pozwalać na ruch tylko do wybranych hostów, nie działa, w sensie nie ma komunikacja z żadnym adresem z podsieci LAN:

Kod: Zaznacz cały

crypto isakmp client configuration group CLIENT
 key xxxxxxxxxxxxxxxxx
 pool VPN_POOL_CLIENT
 acl VPN_CLIENT
 netmask 255.255.255.0 

ip local pool VPN_POOL_CLIENT 10.10.40.1 10.10.40.254
ip access-list extended VPN_CLIENT
 permit ip host 172.18.0.2 10.10.40.0 0.0.0.255
 permit ip host 172.18.0.3 10.10.40.0 0.0.0.255
 permit ip host 172.18.0.4 10.10.40.0 0.0.0.255
 permit ip host 172.18.0.5 10.10.40.0 0.0.0.255
 permit ip host 172.18.0.90 10.10.40.0 0.0.0.255
 permit ip host 172.18.10.160 10.10.40.0 0.0.0.255
 permit ip host 172.18.1.160 10.10.40.0 0.0.0.255
tym samym nie mogę zablokować uzytkownikom mobilnym dostepu do pewnych zasobów. Nie wiam jak to rozwiązać. Prosze o pomoc i pozdrawiam. Piotr

: 25 kwie 2016, 14:37
autor: frontier
A robiłeś jakiś debug? 10.10.40.0/24 jest routowane poprawnie? W ostatnim przykładzie masz pool VPN_POOL_CLIENT - powinno chyba być VPN_POOL_TGCLIENT? Dostajesz adres z 10.10.40.x czy 10.10.10.x?

: 25 kwie 2016, 14:55
autor: jeanas
Przeklejając kod zrobiłe błąd. Już poprawiłem w poscie. VPN_POOL_CLIENT jest w obydwu miejscach. adres dostaję odpowiedni 10.10.40.x.

Kod: Zaznacz cały

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.188     20
       10.10.40.0    255.255.255.0         On-link      10.10.40.109    286
     10.10.40.109  255.255.255.255         On-link      10.10.40.109    286
     10.10.40.255  255.255.255.255         On-link      10.10.40.109    286
     x.x.x.x       255.255.255.255      192.168.0.1    192.168.0.188     21
     x.x.x.x       255.255.255.255      192.168.0.1    192.168.0.188     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.18.0.2  255.255.255.255         On-link      10.10.40.109     31
       172.18.0.3  255.255.255.255         On-link      10.10.40.109     31
       172.18.0.4  255.255.255.255         On-link      10.10.40.109     31
       172.18.0.5  255.255.255.255         On-link      10.10.40.109     31
      172.18.0.90  255.255.255.255         On-link      10.10.40.109     31
     172.18.1.160  255.255.255.255         On-link      10.10.40.109     31
    172.18.10.160  255.255.255.255         On-link      10.10.40.109     31
      192.168.0.0    255.255.255.0         On-link     192.168.0.188    276
    192.168.0.188  255.255.255.255         On-link     192.168.0.188    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.188    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.188    276
        224.0.0.0        240.0.0.0         On-link      10.10.40.109    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.188    276
  255.255.255.255  255.255.255.255         On-link      10.10.40.109    286
===========================================================================
a w przypadku ACL do całej podsieci:

Kod: Zaznacz cały

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.188     20
       10.10.10.0    255.255.255.0         On-link      10.10.10.154    286
     10.10.10.154  255.255.255.255         On-link      10.10.10.154    286
     10.10.10.255  255.255.255.255         On-link      10.10.10.154    286
     x.x.x.x       255.255.255.255      192.168.0.1    192.168.0.188     21
    x.x.x.x        255.255.255.255      192.168.0.1    192.168.0.188     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.18.0.0      255.255.0.0         On-link      10.10.10.154     31
   172.18.255.255  255.255.255.255         On-link      10.10.10.154    286
      192.168.0.0    255.255.255.0         On-link     192.168.0.188    276
    192.168.0.188  255.255.255.255         On-link     192.168.0.188    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.188    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.188    276
        224.0.0.0        240.0.0.0         On-link      10.10.10.154    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.188    276
  255.255.255.255  255.255.255.255         On-link      10.10.10.154    286
===========================================================================

: 25 kwie 2016, 14:59
autor: jeanas
Dodam jeszcze, że te ACL i profile działają jesli używam Cisco VPN Client

: 25 kwie 2016, 15:09
autor: polak
Spróbuj vpn-filter podpięte pod group-policy

: 25 kwie 2016, 17:28
autor: frontier
W ACL VPN_CLIENT zamiast 10.10.40.0/24 wpisz any. A w ogóle to pokaz show cry ips sa.

: 25 kwie 2016, 21:27
autor: piter1789
jak masz skonfigurowanego ShareSofta?

: 25 kwie 2016, 22:20
autor: jeanas
frontier pisze:W ACL VPN_CLIENT zamiast 10.10.40.0/24 wpisz any. A w ogóle to pokaz show cry ips sa.
ANY nie działa :(

Kod: Zaznacz cały

ip access-list extended VPN_CLIENT
 permit ip host 172.18.0.2 any
 permit ip host 172.18.0.90 any
show cry ips sa:

Kod: Zaznacz cały

local  ident (addr/mask/prot/port): (0.0.0.0/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (10.10.40.120/255.255.255.255/0/0)
   current_peer 77.65.87.145 port 13598
     PERMIT, flags={}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 6

     local crypto endpt.: x.x.x.x, remote crypto endpt.: 77.65.87.145
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet8
     current outbound spi: 0xD00C3EE6(3490463462)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xB8956BA1(3096800161)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 3, flow_id: Onboard VPN:3, sibling_flags 80000046, crypto map: CRYPTOMAP
        sa timing: remaining key lifetime (k/sec): (4379690/3548)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xD00C3EE6(3490463462)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 4, flow_id: Onboard VPN:4, sibling_flags 80000046, crypto map: CRYPTOMAP
        sa timing: remaining key lifetime (k/sec): (4379691/3548)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

Re: ShrewSoft zamiast Cisco VPN Client - problem z ACL

: 25 kwie 2016, 22:40
autor: Kyniu
jeanas pisze:Windows 10 nie instaluje się w ogóle
E tam, jak się wie co się robi, to działa.

Re: ShrewSoft zamiast Cisco VPN Client - problem z ACL

: 26 kwie 2016, 16:43
autor: jeanas
Kyniu pisze:
jeanas pisze:Windows 10 nie instaluje się w ogóle
E tam, jak się wie co się robi, to działa.
Zmobilizowałeś mnie i wróciłem do Cisco VPN Client.
No dobrze zainstalować można. Ale nawet po poprawkach z
https://www.citrix.com/go/lp/dne.html
client terminuje się na routerze ale nie ma ruchu pomiędzy podsieciami.

Zainstalowałem przed Cisco Client innego klienta Dell SonicWall i w tej chwili działa.
Jesli możesz się podzielić sprawdzonym sposobem na Windowsa 10 to będę wdzięczny.

Na razie nie męczę juz tego ShrewSoft. Wątek nie rozwiązany.

Dziękuje i pozdrawiam

Re: ShrewSoft zamiast Cisco VPN Client - problem z ACL

: 26 kwie 2016, 18:52
autor: Kyniu
jeanas pisze: Zainstalowałem przed Cisco Client innego klienta Dell SonicWall i w tej chwili działa.
Jesli możesz się podzielić sprawdzonym sposobem na Windowsa 10 to będę wdzięczny.
No i właśnie sam doszedłeś do sprawdzonej i działającej metody ;)

: 26 kwie 2016, 21:14
autor: jeanas
Takie trochę czary-mary z tym SonicWall. Czy ktoś wie co naprawia instalacja tego dodatkowego klienta? Tak pytam z ciekawości... :)
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl