anyconnect, połączenie pomiędzy klientami

Wiadomość

admo · #1

Witam,
chciałbym mieć możliwość aby użytkownicy cisco Anyconnect podłączeni do VPNa mogli sie logować po RDP pomiędzy sobą oraz aby z sieci firmowej 192.168.0.0/24 można sie bylo RDPowac na klientów 172.16.0.10 - 172.16.0.50

anyconnect 2.5, ASA code 8.4

Kod: Zaznacz cały

interface Ethernet0/1
 description LAN
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0

object-group network NO_NAT
 network-object 172.16.0.0 255.255.0.0

access-list VPN_CLIENT_ACL standard permit 192.168.0.0 255.255.255.0

ip local pool AnyConnect_Client_Pool 172.16.0.10-172.16.0.50 mask 255.255.0.0

webvpn
 enable outside
 anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-2.5.6005-k9.pkg 1 regex "Windows NT"
 anyconnect enable
 tunnel-group-list enable

group-policy AnyConnectClientPolicy internal
group-policy AnyConnectClientPolicy attributes
 dns-server value 8.8.8.8 8.8.4.4
 vpn-simultaneous-logins 15
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value VPN_CLIENT_ACL
 default-domain value test.com
 address-pools value AnyConnect_Client_Pool

tunnel-group AnyConnect_Connection type remote-access
tunnel-group AnyConnect_Connection general-attributes
 address-pool AnyConnect_Client_Pool
 default-group-policy AnyConnectClientPolicy
tunnel-group AnyConnect_Connection webvpn-attributes
 group-alias AnyConnect enable

czy sie da to sie zapewne da

, pomożecie?

debianek · #2

ASDM:
Device Setup -> Interfaces
Zaznacz [v] Enable traffic between two or more hosts connected to the same interface

CLI:

Kod: Zaznacz cały

same-security-traffic permit intra-interface

Zapodaj sobie Packet Tracer'a ze swoimi adresami src i dst (jak ruch pomiędzy klientami vpn to interfejs wejsciowy to outside) to Ci pokaże na czym się ruch zatrzymuje (albo wpisy ACL albo reguły NAT):

ASDM:
Tools -> Packet Tracert

CLI:

Kod: Zaznacz cały

packet-tracer input outside icmp 172.16.0.10 8 8 464 172.16.0.20 xml

admo · #3

w packet tracer ok ale polaczenie niestety nie dziala...

Kod: Zaznacz cały



TEMP-ASA-FW01# packet-tracer input inside tcp 192.168.0.200 9999 172.16.0.41 3389 det

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xad793f68, priority=1, domain=permit, deny=false
        hits=92490239, user_data=0x0, cs_id=0x0, l3_type=0x8
        src mac=0000.0000.0000, mask=0000.0000.0000
        dst mac=0000.0000.0000, mask=0100.0000.0000
        input_ifc=inside, output_ifc=any

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         outside

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xad798c48, priority=0, domain=inspect-ip-options, deny=true
        hits=1589905, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=inside, output_ifc=any

Phase: 4
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static any any destination static NO_NAT NO_NAT
Additional Information:
Static translate 192.168.0.200/9999 to 192.168.0.200/9999
 Forward Flow based lookup yields rule:
 in  id=0xad7e7670, priority=6, domain=nat, deny=false
        hits=755, user_data=0xad1b6528, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=172.16.0.0, mask=255.255.0.0, port=0, dscp=0x0
        input_ifc=inside, output_ifc=outside

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Reverse Flow based lookup yields rule:
 in  id=0xad774058, priority=0, domain=inspect-ip-options, deny=true
        hits=2298004, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=outside, output_ifc=any

Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 2324147, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allo

admo · #4

pomiedzy klientami anyconnect to samo.

Kod: Zaznacz cały

TEMP-ASA-FW01# packet-tracer input outside tcp 172.16.0.45 9999 172.16.0.$

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static any any destination static NO_NAT NO_NAT
Additional Information:
NAT divert to egress interface inside
Untranslate 172.16.0.41/3389 to 172.16.0.41/3389

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group OUTSIDE-ACL in interface outside
access-list OUTSIDE-ACL extended permit ip 172.16.0.0 255.255.255.0 172.16.0.0 255.255.255.0
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xae82ed50, priority=13, domain=permit, deny=false
        hits=3, user_data=0xaa869c80, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=172.16.0.0, mask=255.255.255.0, port=0
        dst ip/id=172.16.0.0, mask=255.255.255.0, port=0, dscp=0x0
        input_ifc=outside, output_ifc=any

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xad774058, priority=0, domain=inspect-ip-options, deny=true
        hits=2298652, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=outside, output_ifc=any

Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,outside) source static any any destination static NO_NAT NO_NAT
Additional Information:
 Forward Flow based lookup yields rule:
 out id=0xad7e74c0, priority=6, domain=nat-reverse, deny=false
        hits=702712, user_data=0xad1b6528, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=172.16.0.0, mask=255.255.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=outside, output_ifc=inside

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Reverse Flow based lookup yields rule:
 in  id=0xad798c48, priority=0, domain=inspect-ip-options, deny=true
        hits=1590411, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=inside, output_ifc=any

Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 2324802, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

admo · #5

znalazłem podobny post jednak bez odpowiedzi..

https://supportforums.cisco.com/thread/2172177

a w logach mam:

Kod: Zaznacz cały

Routing failed to locate next hop for ICMP from outside:172.16.0.48/1 to inside:172.16.0.47/0

[/code]

debianek · #6

admo pisze:a w logach mam:
Kod: Zaznacz cały
Routing failed to locate next hop for ICMP from outside:172.16.0.48/1 to inside:172.16.0.47/0

A dlaczego masz form outside to inside, skoro to są klienci z VPNa czyli oboje są widoczni przez interfejs outside (wejsciowy jaki i wyjsciowy)?

Wklej całą konfigurację, to się zobaczy czego brakuje, czego jest za duzo.

admo · #7

1 sprawa to nie moge sie RDPowac z sieci lokalnej 192.168.0.0/24 na uztkownika anconnecta (172.16.0.X) co oczwiscie powinno dzialac

2 sprawa to to ze nie moge sie laczc pomiedzy uztkownikami anconnecta bezpisrednio 172.16.0.x <-> 172.16.0.0

Kod: Zaznacz cały

interface Ethernet0/1
 description LAN
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0


same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network All_Internal_to_outside

 subnet 192.168.0.0 255.255.255.0
object network All_Internal_to_backup
 subnet 192.168.0.0 255.255.255.0


object-group network NO_NAT
 network-object 172.16.0.0 255.255.0.0

access-list OUTSIDE-ACL extended permit icmp any any echo-reply
access-list OUTSIDE-ACL extended permit icmp any any echo
access-list OUTSIDE-ACL extended permit icmp any any unreachable
access-list OUTSIDE-ACL extended permit icmp any any time-exceeded

access-list VPN_CLIENT_ACL standard permit 192.168.0.0 255.255.255.0


ip local pool AnyConnect_Client_Pool 172.16.0.10-172.16.0.50 mask 255.255.0.0

nat (inside,outside) source static any any destination static NO_NAT NO_NAT
nat (inside,backup) source static any any destination static NO_NAT NO_NAT


access-group OUTSIDE-ACL in interface outside
access-group OUTSIDE-ACL in interface backup


webvpn
 enable outside
 enable inside
 enable backup
 anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-2.5.6005-k9.pkg 1 regex "Windows NT"
 anyconnect enable
 tunnel-group-list enable
group-policy AnyConnectClientPolicy internal
group-policy AnyConnectClientPolicy attributes
 dns-server value 8.8.8.8 8.8.4.4
 vpn-simultaneous-logins 15
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value VPN_CLIENT_ACL
 default-domain value test.com
 address-pools value AnyConnect_Client_Pool

eljot · #8

Tu może pomóc modyfikacja split tunnelingu. W twoim wypadku w tunel wpada tylko ruch do 192.168.0.0/24. Podobnie z packettracerów wynika, że ruch nie wpada do tunelu (brak sekcji VPN)

admo · #9

czli mam dodać
access-list VPN_CLIENT_ACL standard permit 172.16.0.0 255.255.0.0
?

jesli tak to już to dodawałem, dalej nie moglem sie polaczc pomiedzy anconnectami oraz z 192.168.0.0 nie moglem RDP/icmp na uzytkownikow anconnecta 172.16.0.x

czaja200 · #10

Witam

Moim zdaniem, nie musisz tutaj modyfikować ustawień split tunnelingu
nie wprowadzaj tej modyfikacji

access-list VPN_CLIENT_ACL standard permit 172.16.0.0 255.255.0.0

1. Transmisja pomiędzy LAN a userami anyconnect.
Czy w obecnej konfiguracji klienci VPN mają dostęp do sieci LAN?
Czy jest jakakolwiek komunikacja z LAN do userów VPN? Czy tylko nie działają Ci pewne usługi?

Łatwiej było by szukać przyczyn, mając do wglądu całą konfigurację.

2. Komunikacja pomiędzy klientami VPN.
Sprawdź to:

Kod: Zaznacz cały

same-security-traffic permit intra-interface

object-group network vpn_pool
 description Remote vpn subnet
 network-object 172.16.0.0 255.255.0.0 

nat (outside,outside) source static vpn_pool vpn_pool destination static vpn_pool vpn_pool

P.S.
jaką masz wersję softu?

---
MB

admo · #11

1.
tak, klienci VPN maja full dostep do sieci LAN
Nie ma zadnej komunikacji z LAN do userów VPN

2. Komunikacja pomiędzy klientami VPN.
tez nie dzala

soft 8.4(2)

admo · #12

a jak wywyalilem

access-list VPN_CLIENT_ACL standard permit 172.16.0.0 255.255.0.0

do otrzymuje na pingu (z cmd na Win7), General Failure, tak jakby lapek nie widzial sieci 172.16.x.x

czaja200 · #13

Tak na szybko
"strzelam" - masz włączone?

Kod: Zaznacz cały

sysopt connection permit-vpn

---
MB

admo · #14

sysopt connection permit-vpn jest włączone..

czaja200 · #15

Wspomniałeś, że testujesz to na Windows 7, komp jest domenowy?
sprawdziłeś ustawienia firewall, do jakiego profilu masz przypisany adapter VPN
(może tu leży przyczyna, że np. z LAN-u nie masz dostępu do usera VPN ....)

Masz możliwość weryfikacji na XP?