Добрый день!
Привезли мне новенькую ASA 5512, есть моменты которые пока не совсем понятны. Прошу помощи.Пытаюсь настроить проброс VPN через асу на MS ISA. Знаю, конечно, что при наличии асы ВПН лучше делать на ней же, но пока не разберусь окончательно с тонкостями настройки пусть будет по старому.
Итак, сделал следующее: (192.168.5.41 - адрес MS ISA)object network 192.168.5.41-udp-500
host 192.168.5.41
object network 192.168.5.41-udp-4500
host 192.168.5.41
object network 192.168.5.41-tcp-1721
host 192.168.5.41
object network 192.168.5.41-tcp-1723
host 192.168.5.41access-list outside_access_in extended permit udp any object 192.168.5.41-udp-500 eq isakmp
access-list outside_access_in extended permit udp any object 192.168.5.41-udp-4500 eq 4500
access-list outside_access_in extended permit tcp any object 192.168.5.41-tcp-1721 eq 1721
access-list outside_access_in extended permit tcp any object 192.168.5.41-tcp-1723 eq pptpobject network 192.168.5.41-udp-500
nat (inside,outside) static interface service udp isakmp isakmp
object network 192.168.5.41-udp-4500
nat (inside,outside) static interface service udp 4500 4500
object network 192.168.5.41-tcp-1721
nat (inside,outside) static interface service tcp 1721 1721
object network 192.168.5.41-tcp-1723
nat (inside,outside) static interface service tcp 1723 1723Результат таков: соединение ВПН не проходит. Подвисает на этапе проверки логина и пароля.
Что я сделал не так?
>[оверквотинг удален]
> nat (inside,outside) static interface service udp isakmp isakmp
> object network 192.168.5.41-udp-4500
> nat (inside,outside) static interface service udp 4500 4500
> object network 192.168.5.41-tcp-1721
> nat (inside,outside) static interface service tcp 1721 1721
> object network 192.168.5.41-tcp-1723
> nat (inside,outside) static interface service tcp 1723 1723
> Результат таков: соединение ВПН не проходит. Подвисает на этапе проверки логина и
> пароля.
> Что я сделал не так?Навскидку не хватает аналогичного access-list на входе:
access-list inside_access_in extended permit udp host 192.168.5.41 any eq isakmp
access-list inside_access_in permit udp host 192.168.5.41 any eq 4500
access-list inside_access_in permit esp host 192.168.5.41 any
...и самое главное, активировать их на интерфейсах:
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
>[оверквотинг удален]
>> пароля.
>> Что я сделал не так?
> Навскидку не хватает аналогичного access-list на входе:
> access-list inside_access_in extended permit udp host 192.168.5.41 any eq isakmp
> access-list inside_access_in permit udp host 192.168.5.41 any eq 4500
> access-list inside_access_in permit esp host 192.168.5.41 any
> ...
> и самое главное, активировать их на интерфейсах:
> access-group inside_access_in in interface inside
> access-group outside_access_in in interface outsideБольшое спасибо за ответ!
Но, к сожалению, Ваш совет не помог - также подвисает на этапе аутентификации.Еще заметил, что DNS порты и FTP работают даже без ACL на входе.
Что все-таки может быть?
>[оверквотинг удален]
>> ...
>> и самое главное, активировать их на интерфейсах:
>> access-group inside_access_in in interface inside
>> access-group outside_access_in in interface outside
> Большое спасибо за ответ!
> Но, к сожалению, Ваш совет не помог - также подвисает на этапе
> аутентификации.
> Еще заметил, что DNS порты и FTP работают даже без ACL на
> входе.
> Что все-таки может быть?Давайте весь конфиг
А то получается гадание на кофейной гущеНу и кстати, поднять на асе впн для АД пользователей дело 10 минут, я правда тыкался как котенок порядка 2 недель, оказалось все просто. Так что лучше наверное поднять радиус на винде и настроить асу.
>[оверквотинг удален]
>> аутентификации.
>> Еще заметил, что DNS порты и FTP работают даже без ACL на
>> входе.
>> Что все-таки может быть?
> Давайте весь конфиг
> А то получается гадание на кофейной гуще
> Ну и кстати, поднять на асе впн для АД пользователей дело 10
> минут, я правда тыкался как котенок порядка 2 недель, оказалось все
> просто. Так что лучше наверное поднять радиус на винде и настроить
> асу.Тогда, чтобы мне не тыкаться как котенку две недели, расскажите, пожалуйста, как это сделать. Буду очень признателен
>[оверквотинг удален]
>>> входе.
>>> Что все-таки может быть?
>> Давайте весь конфиг
>> А то получается гадание на кофейной гуще
>> Ну и кстати, поднять на асе впн для АД пользователей дело 10
>> минут, я правда тыкался как котенок порядка 2 недель, оказалось все
>> просто. Так что лучше наверное поднять радиус на винде и настроить
>> асу.
> Тогда, чтобы мне не тыкаться как котенку две недели, расскажите, пожалуйста, как
> это сделать. Буду очень признателенКонфиг не полный, так что не понятно что у Вас не так.
В ASA есть классный инструмент для отладки packet-tracer. Прогнав с его помощью пакет туда/сюда можно легко понять где зарыта собака.
а вы какой vpn поднимаете? Если pptp, то где вы разрешили gre?