Problem ze skonfigurowaniem VPn na ASA 5515

[horst]

Udało mi się to skonfigurować. Prawdę mówiąc od początku prawdopodobnie wszystko działało, chociaż nie do końca.
Problemem jest to, że cały czas próbowałem nawiązać połączenie VPN podając publiczny adres ASA. Niestety w takim przypadku to nie działa. Połączenie udaje się nawiązać wpisując adres interfejsu 'outside'. I tu nasuwa się kolejne pytanie, dlaczego nie mogę uzyskać połączenia podając adres publiczny? Do serwerów w sieci łączę się przez rdp właśnie po tym adresie, a w przypadku vpn nie udaje mi się to.

Trzeba jakoś zmapować adres publiczny na adres interfejsu outside?

[double.decode]

Wrzuć tutaj ogryziony konfig, bo sugestie że OUTSIDE i „interfejs z adresem zewnętrznym” to są dwie różne sprawy brzmi egzotycznie.

[horst]

Wrzuć tutaj ogryziony konfig, bo sugestie że OUTSIDE i „interfejs z adresem zewnętrznym” to są dwie różne sprawy brzmi egzotycznie.

Wiem, że to ten sam interfejs. Ale mam na nim jakby 2 adresy.

Kod: Zaznacz cały

...
interface GigabitEthernet0/1
 nameif Outside
 security-level 0
 ip address dhcp
 ...

Z dhcp jest przydzielony adres z puli 10.xx.xx.xx i po tym właśnie adresie udaje sie połączyć do vpn. Ale ASA jest widoczna w internecie pod adresem 91.xxx.xxx.xx (stałe publiczne ip) i na tym adresie połączenia nie można nawiązać.

[konradrz]

Czekaj, zaraz. Jesteś sobie np w domu (a tam dajmy na to internet z kablówki), i próbujesz się łączyć z adresem 91.x - nie działa, a z 10.x - działa?
Czy Ty na 100% łączysz się z tą akurat ASĄ? :)

[horst]

Mam w domu internet od tego samego operatora co firma. Dzięki temu się zorientowałem, że to jednak działa. Tylko czemu nie na publicznym IP skoro przez rdp mogę się połączyć po jednym jak i drugim adresie?

[horst]

Dobra wszystko działa . Pomogła zmiana adresu z NATowanego na publiczne ip przypisane do interfejsu outside.
Mam teraz pytanie z innej beczki i mam nadzieję, że znajdzie się ktoś kto pomożemi się z nim uporać. Mianowicie, skoro mam VPN skonfigurowany na ASA, chciałbym aby użytkownicy zdalni korzystali wyłącznie z tego, bez możliwości logowania do routera na tych poświadczeniach.
Może jest tu ktoś kto wie gdzie szukać odpowiedzi na to pytanie, nie koniecznie na rozbudowanych oficjalnych poradnikach Cisco.

Chodzi o to, żeby ci którzy łączą się do sieci za pośrednictwem ASA nie mieli możliwości wejścia w konfigurację routera.

[double.decode]

https://community.cisco.com/t5/vpn-and- ... -p/3724299

[Kyniu]

Dobra wszystko działa .

Wiem, wiem, jestem podły i tak dalej, ale jak czytam o tych wszystkich perypetiach, to na Twoje "Dobra wszystko działa" mam tylko jedną odpowiedź - tak Ci się tylko wydaje.

[horst]

Wiem, wiem, jestem podły i tak dalej, ale jak czytam o tych wszystkich perypetiach, to na Twoje "Dobra wszystko działa" mam tylko jedną odpowiedź - tak Ci się tylko wydaje.

No i wykrakane . W sumie nie do końca, bo jednak działa, ale nie tak jak powinno. A mianowicie bez problemy łączę się przez vpn i korzystam z zasobów firmowej sieci z domu. Tak jak wspominałem, mam internet od tego samego dostawcy co firma. Ale jak próbuję się połączyć z innej sieci, połączenia nie udaje się nawiązać.

Wygląda to, jakby ruch vpn był blokowany gdzieś na styku sieci dostawcy z internetem. Ale oni się upierają, że po ich stronie wszystko jest skonfigurowane poprawnie.

Według mnie, skoro nawiązuję połączenie po adresie zewnętrznego interfejsu ASA z domu, to na niej też jest wszystko zrobione poprawnie.

[drake]

Hej,

nikt tu nie wrozy z fusow, jak nie udostepnisz konfiguracji (ogolnej, z usunietymi/zmienionymi adresami IP i haslami) to nie oczekuj rozwiazania podanego na tacy. Ponadto wyjasnij czy ten "Internet" to faktycznie internet, czy tez moze jakis MPLS (gdzie rowniez moga pojawic sie IP z puli adresow publicznych). To ze masz w domu tego samego ISP co firma nie ma zadnego znaczenia jesli jest to faktycznie lacze typowo internetowe.

Pozdruffka!