Problem ze skonfigurowaniem VPn na ASA 5515

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#16

#16 Post autor: horst » 01 cze 2019, 16:16

Udało mi się to skonfigurować. Prawdę mówiąc od początku prawdopodobnie wszystko działało, chociaż nie do końca.
Problemem jest to, że cały czas próbowałem nawiązać połączenie VPN podając publiczny adres ASA. Niestety w takim przypadku to nie działa. Połączenie udaje się nawiązać wpisując adres interfejsu 'outside'. I tu nasuwa się kolejne pytanie, dlaczego nie mogę uzyskać połączenia podając adres publiczny? Do serwerów w sieci łączę się przez rdp właśnie po tym adresie, a w przypadku vpn nie udaje mi się to.

Trzeba jakoś zmapować adres publiczny na adres interfejsu outside?

double.decode
wannabe
wannabe
Posty: 297
Rejestracja: 15 kwie 2009, 18:31

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#17

#17 Post autor: double.decode » 02 cze 2019, 02:29

Wrzuć tutaj ogryziony konfig, bo sugestie że OUTSIDE i „interfejs z adresem zewnętrznym” to są dwie różne sprawy brzmi egzotycznie.

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#18

#18 Post autor: horst » 02 cze 2019, 09:30

double.decode pisze:
02 cze 2019, 02:29
Wrzuć tutaj ogryziony konfig, bo sugestie że OUTSIDE i „interfejs z adresem zewnętrznym” to są dwie różne sprawy brzmi egzotycznie.
Wiem, że to ten sam interfejs. Ale mam na nim jakby 2 adresy.

Kod: Zaznacz cały

...
interface GigabitEthernet0/1
 nameif Outside
 security-level 0
 ip address dhcp
 ...
Z dhcp jest przydzielony adres z puli 10.xx.xx.xx i po tym właśnie adresie udaje sie połączyć do vpn. Ale ASA jest widoczna w internecie pod adresem 91.xxx.xxx.xx (stałe publiczne ip) i na tym adresie połączenia nie można nawiązać.

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 353
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#19

#19 Post autor: konradrz » 02 cze 2019, 20:11

Czekaj, zaraz. Jesteś sobie np w domu (a tam dajmy na to internet z kablówki), i próbujesz się łączyć z adresem 91.x - nie działa, a z 10.x - działa?
Czy Ty na 100% łączysz się z tą akurat ASĄ? :)

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#20

#20 Post autor: horst » 02 cze 2019, 20:33

Mam w domu internet od tego samego operatora co firma. Dzięki temu się zorientowałem, że to jednak działa. Tylko czemu nie na publicznym IP skoro przez rdp mogę się połączyć po jednym jak i drugim adresie?

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#21

#21 Post autor: horst » 03 cze 2019, 19:00

Dobra wszystko działa ;). Pomogła zmiana adresu z NATowanego na publiczne ip przypisane do interfejsu outside.
Mam teraz pytanie z innej beczki i mam nadzieję, że znajdzie się ktoś kto pomożemi się z nim uporać. Mianowicie, skoro mam VPN skonfigurowany na ASA, chciałbym aby użytkownicy zdalni korzystali wyłącznie z tego, bez możliwości logowania do routera na tych poświadczeniach.
Może jest tu ktoś kto wie gdzie szukać odpowiedzi na to pytanie, nie koniecznie na rozbudowanych oficjalnych poradnikach Cisco.

Chodzi o to, żeby ci którzy łączą się do sieci za pośrednictwem ASA nie mieli możliwości wejścia w konfigurację routera.


Kyniu
wannabe
wannabe
Posty: 3486
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#23

#23 Post autor: Kyniu » 04 cze 2019, 01:18

horst pisze:
03 cze 2019, 19:00
Dobra wszystko działa ;).
Wiem, wiem, jestem podły i tak dalej, ale jak czytam o tych wszystkich perypetiach, to na Twoje "Dobra wszystko działa" mam tylko jedną odpowiedź - tak Ci się tylko wydaje.
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)

horst
rookie
rookie
Posty: 13
Rejestracja: 22 maja 2019, 20:40

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#24

#24 Post autor: horst » 06 cze 2019, 09:18

Kyniu pisze:
04 cze 2019, 01:18
Wiem, wiem, jestem podły i tak dalej, ale jak czytam o tych wszystkich perypetiach, to na Twoje "Dobra wszystko działa" mam tylko jedną odpowiedź - tak Ci się tylko wydaje.
No i wykrakane :). W sumie nie do końca, bo jednak działa, ale nie tak jak powinno. A mianowicie bez problemy łączę się przez vpn i korzystam z zasobów firmowej sieci z domu. Tak jak wspominałem, mam internet od tego samego dostawcy co firma. Ale jak próbuję się połączyć z innej sieci, połączenia nie udaje się nawiązać.

Wygląda to, jakby ruch vpn był blokowany gdzieś na styku sieci dostawcy z internetem. Ale oni się upierają, że po ich stronie wszystko jest skonfigurowane poprawnie.

Według mnie, skoro nawiązuję połączenie po adresie zewnętrznego interfejsu ASA z domu, to na niej też jest wszystko zrobione poprawnie.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1479
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem ze skonfigurowaniem VPn na ASA 5515

#25

#25 Post autor: drake » 06 cze 2019, 09:50

Hej,

nikt tu nie wrozy z fusow, jak nie udostepnisz konfiguracji (ogolnej, z usunietymi/zmienionymi adresami IP i haslami) to nie oczekuj rozwiazania podanego na tacy. Ponadto wyjasnij czy ten "Internet" to faktycznie internet, czy tez moze jakis MPLS (gdzie rowniez moga pojawic sie IP z puli adresow publicznych). To ze masz w domu tego samego ISP co firma nie ma zadnego znaczenia jesli jest to faktycznie lacze typowo internetowe.

Pozdruffka!
Never stop exploring :)

https://iverion.de

ODPOWIEDZ