URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20869
[ Назад ]

Исходное сообщение
"Настройка IPSEC VPN Cisco ASA"
Отправлено alex89bb , 13-Апр-10 07:28

Доброго дня суток! Настроил vpn подключение пользователей к копоративной сети. Однако сталкнулся с проблемой, что у некоторых пользователей выдается неправильный default gateway. Кто сталкивался с подобной проблемой подскажите что не так в конфиге.
group-policy nng_clients internal
group-policy nng_clients attributes
wins-server value 10.8.0.11
dns-server value 10.8.0.11
split-tunnel-policy tunnelspecified
split-tunnel-network-list value no-nat
tunnel-group nng_clients type ipsec-ra
tunnel-group nng_clients general-attributes
address-pool VPN_Access
authentication-server-group TACACS+
authentication-server-group (outside) partnerauth
default-group-policy nng_clients
tunnel-group nng_clients ipsec-attributes
pre-shared-key blabla

access-list no-nat extended permit ip 10.0.0.0 255.0.0.0 10.8.40.0 255.255.255.0
access-list no-nat extended permit ip 10.0.0.0 255.224.0.0 10.0.0.0 255.0.0.0
access-list no-nat extended permit ip 10.0.0.0 255.224.0.0 162.1.0.0 255.255.0.0
access-list no-nat extended permit ip 10.0.0.0 255.224.0.0 192.168.0.0 255.255.0.0

Содержание

Настройка IPSEC VPN Cisco ASA,Gbyte, 08:39 , 13-Апр-10
- Настройка IPSEC VPN Cisco ASA,alex89bb, 08:47 , 13-Апр-10
  - Настройка IPSEC VPN Cisco ASA,Gbyte, 09:01 , 13-Апр-10
    - Настройка IPSEC VPN Cisco ASA,alex89bb, 09:08 , 13-Апр-10
      - Настройка IPSEC VPN Cisco ASA,Gbyte, 09:35 , 13-Апр-10
        
        Настройка IPSEC VPN Cisco ASA,gagner, 20:08 , 13-Апр-10
        
        Настройка IPSEC VPN Cisco ASA,alex89bb, 06:56 , 14-Апр-10

Сообщения в этом обсуждении

"Настройка IPSEC VPN Cisco ASA"
Отправлено Gbyte , 13-Апр-10 08:39

>Однако сталкнулся с проблемой, что у некоторых пользователей выдается неправильный default gateway.
что значит выдается?
Пользователи настройки сетевые по dhcp получают?

"Настройка IPSEC VPN Cisco ASA"
Отправлено alex89bb , 13-Апр-10 08:47

>>Однако сталкнулся с проблемой, что у некоторых пользователей выдается неправильный default gateway.
>
>что значит выдается?
>
>Пользователи настройки сетевые по dhcp получают?
да по dhcp, у них настроен pool

"Настройка IPSEC VPN Cisco ASA"
Отправлено Gbyte , 13-Апр-10 09:01

>
>да по dhcp, у них настроен pool
и пул только один и дефолтный маршрут только один? - тогда может у вас в сети где-то есть еще dhcp??

"Настройка IPSEC VPN Cisco ASA"
Отправлено alex89bb , 13-Апр-10 09:08

>>
>>да по dhcp, у них настроен pool
>
>и пул только один и дефолтный маршрут только один? - тогда может
>у вас в сети где-то есть еще dhcp??
нет, эта сеть настроена только на ASA, она выдает IP из диапазона 10.8.40.1-10.8.40.128, явной настроки какой gateway будет выдаватся я не нашел.
Пользователь, у которого не правильный gateway соединяется и видит корпоратиную сеть, но через минут 15 у него проподает связь. Но на ASA его сессия продолжает висеть.

"Настройка IPSEC VPN Cisco ASA"
Отправлено Gbyte , 13-Апр-10 09:35

Извиняюсь, чушь сморозил - пропустил что это настройки для vpn...

"Настройка IPSEC VPN Cisco ASA"
Отправлено gagner , 13-Апр-10 20:08

у вас настроен split-tunnel. мне всегда казалось, что эта фенечка именно для того, что бы выдавать не дефолт, а описанные в ACL маршруты.

посмотрела у себя ipconfig и route print на ноуте, подцепленном к впну (софтинка ciscovpn) - дефолт в сторону инета, на "циско адаптере" - только ип из пула с маской, шлюза нет. "нужные" маршруты уходят в 1 адрес пула.

"Настройка IPSEC VPN Cisco ASA"
Отправлено alex89bb , 14-Апр-10 06:56

Кажется разобрался. Шлюз выдается в зависимости от настроенного пула. У меня было так:
ip local pool VPN 10.X.X.128-10.X.X.250
Поэтому на компе выставляться первый адрес из сети соответствующего класса.
Исправил команду с дополнением маски.