Problem ze skonfigurowaniem VPn na ASA 5515

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Problem ze skonfigurowaniem VPn na ASA 5515

#1

#1 Post autor: horst » 23 maja 2019, 12:50

Witam.
Muszę utworzyć Remote Access VPN do sieci. Niestety nie miałem z tym do czynienia i niestety nie udaję mi się nawiązać połączenia.
Zrobiłem wszystko tak jak w tym poradniku cisco: https://www.cisco.com/c/en/us/td/docs/s ... ipsec.html, niestety nie mogę nawiązać połączenia ;(

Kod: Zaznacz cały

Configuration Example for L2TP over IPsec Using ASA 8.4.1 and later

The following example shows configuration file commands that ensure ASA compatibility with a native VPN client on any operating system:
ip local pool sales_addresses 209.165.202.129-209.165.202.158
group-policy sales_policy internal
group-policy sales_policy attributes
wins-server value 209.165.201.3 209.165.201.4
dns-server value 209.165.201.1 209.165.201.2
vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
default-group-policy sales_policy
address-pool sales_addresses
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key password
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
authentication chap
authentication ms-chap-v1
authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set trans
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400 
Nie trzeba do tego dodać jakichś zasad dostępu lub przekierowań? Nie za bardzo się jakoś w tym mogę połapać.
Może ktoś mógłby podzielić się więdzą z zakresu konfiguracji dostępu zdalnego na ASA.

snake
member
member
Posty: 19
Rejestracja: 17 kwie 2012, 08:13

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#2

#2 Post autor: snake » 26 maja 2019, 20:44

Witam,
a co dokładnie rozumiesz przez "nie mogę nawiązać połączenia"? Może mógłbyś jakieś logi podrzucić? I czy masz nat'a skonfigurowanego dla tego RAS'a?

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#3

#3 Post autor: horst » 27 maja 2019, 09:37

Nie za bardzo właśnie wiem jak ten NAT skonfigurować

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1524
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#4

#4 Post autor: drake » 27 maja 2019, 14:20

horst pisze:
27 maja 2019, 09:37
Nie za bardzo właśnie wiem jak ten NAT skonfigurować
Hej,
potrzebujesz NAT exemption/identity NAT. Chodzi o to, że generalnie natujesz, ale na ten sam adres, co jest wykorzystywane często przy Remote VPN.
Zajrzyj tutaj:
https://www.cisco.com/c/en/us/td/docs/s ... ssing.html

Pozdruffka! :)
Never stop exploring :)

https://iverion.de

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#5

#5 Post autor: horst » 27 maja 2019, 20:41

Teraz to już w ogóle mam mętlik w głowie ;(

snake
member
member
Posty: 19
Rejestracja: 17 kwie 2012, 08:13

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#6

#6 Post autor: snake » 27 maja 2019, 21:54

Skonfiguruj nat'a według tego co Ci wysłałem, a powinno działać. Zastąp tylko odpowiednio swoimi nazwami interfejsów i zastąp 'any' siecią/sieciami do których mają mieć dostęp w LAN.

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#7

#7 Post autor: horst » 28 maja 2019, 08:23

snake pisze:
27 maja 2019, 21:54
Skonfiguruj nat'a według tego co Ci wysłałem, a powinno działać. Zastąp tylko odpowiednio swoimi nazwami interfejsów i zastąp 'any' siecią/sieciami do których mają mieć dostęp w LAN.
Mógłbyś mi to wytłumaczyć łopatologicznie?

nat (outside_interface,inside_interface) source static ip-pool ip-pool destination static any any no-proxy-arp route-lookup

Nie za bardzo wiem, co mam wstawić w source ip-pool ip-pool. pule adresów przydzielone dla VPN?

snake
member
member
Posty: 19
Rejestracja: 17 kwie 2012, 08:13

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#8

#8 Post autor: snake » 28 maja 2019, 08:37

Dokładnie, zamiast ip pool dajesz twoje adresy przydzielane użytkownikom "sales_addresses".

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#9

#9 Post autor: horst » 28 maja 2019, 08:48

Dostaję coś takiego:

Kod: Zaznacz cały

sales_addresses doesn't match an existing object or object-group
Jak utworzyć te obiekty?

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1524
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#10

#10 Post autor: drake » 28 maja 2019, 09:44

Hej,
poczytaj tutaj: https://www.cisco.com/c/en/us/td/docs/s ... jects.html

Polecam przejrzec ten Configuration Guide, a jesli naprawde brakuje ci wiedzy i doswiadczenia, moze lepiej to komus zlecic...

Pozdruffka!
Never stop exploring :)

https://iverion.de

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#11

#11 Post autor: horst » 28 maja 2019, 09:57

Tworzyłem te obiekty co prawda w ASDM. Ale zarówno przy: obiekcie dla puli adresów, jak i przy obiekcie dla sieci, powyższe polecenie zwraca błąd.
Zlecenie konfiguracji komuś doświadczonemu, niestety nie wchodzi w grę. Sam muszę to jakoś ogarnąć :(

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#12

#12 Post autor: horst » 28 maja 2019, 11:16

Dobra, ten NAT jakoś mi się udało zrobić. Chociaż nie wiem, czy dobrze, bo dalej nie udaję się nawiązać połączenia. Rodzaj błędu zmienił się z 789 przy wcześniejszej konfiguracji na 809 przy obecnej. Pewnie jeszcze Access Rules.
Obrazek

snake
member
member
Posty: 19
Rejestracja: 17 kwie 2012, 08:13

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#13

#13 Post autor: snake » 28 maja 2019, 21:31

Zerknij na to https://www.petenetlive.com/KB/Article/0000571, powinno pomóc i w twoim przypadku - część dotycząca konfiguracji FW.

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#14

#14 Post autor: horst » 29 maja 2019, 08:15

Niestety nie pomogło. Może coś z tą ASA nie tak :(

snake
member
member
Posty: 19
Rejestracja: 17 kwie 2012, 08:13

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#15

#15 Post autor: snake » 29 maja 2019, 10:09

To może podeślij całą konfigurację twojego FW, wytnij tylko hasła, użytkowników itp. Ciężko stwierdzić czemu nie działa wróżąc z "fusów" :) A jeszcze jedno pytanie z jakiego systemu się łączysz?

ODPOWIEDZ