ASA + Cisco VPN CLIENT + VLAN's

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
dywan
member
member
Posty: 28
Rejestracja: 08 sty 2009, 12:39

ASA + Cisco VPN CLIENT + VLAN's

#1

#1 Post autor: dywan »

Witam,

Scenariusz.

Na styku WAN/LAN podlaczony mam router cisco, za routerem postawiona mam ASA 192.168.0.254. W tej samej podsieci pracuje glowny switch 192.168.0.240 (wlaczony IP routing).

Kliencie Cisco VPN otrzymuja IP z puli 192.168.210.0 /24

Kod: Zaznacz cały


ip local pool akpool 192.168.210.1-192.168.210.254

Na ASA utworzylem access liste zezwalajac na dostep do 192.168.0.0 /16.
192.168.210.0


Kod: Zaznacz cały

access-list acl_it extended permit ip 192.168.0.0 255.255.0.0 192.168.210.0 255.255.255.0
oraz stosowna grupe vpn.

Kod: Zaznacz cały

group-policy it internal
group-policy it attributes
 dns-server value 192.168.0.200
 vpn-idle-timeout 30
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value acl_it

tunnel-group it general-attributes
 address-pool akpool
 authentication-server-group (outside) LOCAL
 default-group-policy it
tunnel-group it ipsec-attributes
 pre-shared-key *
Na ASA'ie wlaczylem NAT'a.


Kod: Zaznacz cały

nat (inside) 0 access-list nonat
nat (inside) 1 192.168.0.0 255.255.255.0
nat (inside) 1 192.168.10.0 255.255.255.0
nat (inside) 1 192.168.11.0 255.255.255.0
nat (inside) 1 192.168.12.0 255.255.255.0
nat (inside) 1 192.168.20.0 255.255.255.0
nat (inside) 1 192.168.30.0 255.255.255.0
nat (inside) 1 192.168.40.0 255.255.255.0
nat (inside) 1 192.168.69.0 255.255.255.0
nat (inside) 1 192.168.99.0 255.255.255.0
nat (inside) 1 192.168.101.0 255.255.255.0
nat (inside) 1 192.168.102.0 255.255.255.0
nat (inside) 1 192.168.103.0 255.255.255.0
nat (inside) 1 192.168.104.0 255.255.255.0
nat (inside) 1 192.168.150.0 255.255.255.0
nat (inside) 1 192.168.200.0 255.255.255.0

Na glownym switchu skonfigurowane mam VLANy

Z ASA moge pingowac wszystkie skonfigurowane na glownym switchu VLAN'y.

Klient z ktore probuje nawiazac polaczenie zestawia kanal.
W statistics \ route details pokazuje sie wlasciwa trasa - czyli 192.168.0.0 255.255.0.0

Bez problemow moge pingowac adresy z puli 192.168.0.0 255.255.255.0 (vlan1)

Niestety adresy z innych VLAN'ow 192.168.10.0 /24, 192.168.20.0/24 itd. nie odpowiadaja.


Czy ktos moglby podpowiedziec w czym moze twkic problem?


Pozdrawiam![/code]
Na górę
grzes1981
CCIE
CCIE
Posty: 23
Rejestracja: 16 lut 2007, 23:32

Re: ASA + Cisco VPN CLIENT + VLAN's

#2

#2 Post autor: grzes1981 »

[quote="dywan"]

Kod: Zaznacz cały


ip local pool akpool 192.168.210.1-192.168.210.254
a masz routing to tej podsieci na hostach ?


co jest w acl nonat?
czy ruch 192.168.210.1-192.168.210.254 do pozostałych podsieci jest wyłączony z nata?
Na górę
dywan
member
member
Posty: 28
Rejestracja: 08 sty 2009, 12:39

#3

#3 Post autor: dywan »

w acl nonat mialem 192.168.0.0/24 , a nie 192.168.0.0/16

Bardzo dziekuje za pomoc.
Na górę
grzes1981
CCIE
CCIE
Posty: 23
Rejestracja: 16 lut 2007, 23:32

#4

#4 Post autor: grzes1981 »

dywan pisze:w acl nonat mialem 192.168.0.0/24 , a nie 192.168.0.0/16

Bardzo dziekuje za pomoc.
ok super
Na górę
ODPOWIEDZ

Wróć do „Security”