URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 717
[ Назад ]

Исходное сообщение
"Настройка AnyConnect ASA 5505"

Отправлено Lioha , 26-Апр-13 09:35 
Доброго времени суток господа! Не могу разобраться с ASA 5505, настроил Any Connect по доке через ASDM. Коннекчусь клиентом Cisco все проходит нормально, но не вижу внутреннюю сеть. Подскажи в чем может быть проблема и где копать? Заранее благодарен всем откликнувшимся...

Содержание

Сообщения в этом обсуждении
"Настройка AnyConnect ASA 5505"
Отправлено McS555 , 26-Апр-13 12:22 
> Подскажи в чем может быть проблема   и где копать?

Там... или вооон там!!


"Настройка AnyConnect ASA 5505"
Отправлено McS555 , 26-Апр-13 12:23 
>> Подскажи в чем может быть проблема   и где копать?
> Там... или вооон там!!

Но скорее всего внизу конфига


"Настройка AnyConnect ASA 5505"
Отправлено eek , 26-Апр-13 13:02 
> Подскажи в чем может быть проблема и где копать?

Прохождение трафика нужно разрешить аксес листом.


"Настройка AnyConnect ASA 5505"
Отправлено Lioha , 26-Апр-13 13:36 
>> Подскажи в чем может быть проблема и где копать?
> Прохождение трафика нужно разрешить аксес листом.

asa-1-2# sh run
: Saved
:
ASA Version 9.1(1)4
!
hostname asa-1-2
enable password 0e53SZdxezxawxDG encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
ip local pool AnyConnect-POOL 192.168.25.1-192.168.25.14 mask 255.255.255.240
!
interface Ethernet0/0
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
switchport access vlan 3
!
interface Ethernet0/3
switchport access vlan 2
shutdown
!
interface Ethernet0/4
switchport access vlan 2
shutdown    
!
interface Ethernet0/5
switchport access vlan 2
shutdown
!
interface Ethernet0/6
switchport access vlan 2
shutdown
!
interface Ethernet0/7
switchport access vlan 2
shutdown
!
interface Vlan1
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.240
!
interface Vlan2
nameif inside-1
security-level 100
ip address 192.168.20.250 255.255.255.0
!
boot system disk0:/asa911-4-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name ans.aero
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network inside-1
subnet 192.168.20.0 255.255.255.0
object network NETWORK_OBJ_192.168.25.0_28
subnet 192.168.25.0 255.255.255.240
access-list outside_access_in extended permit ip object NETWORK_OBJ_192.168.25.0_28 192.168.20.0 255.255.255.0
access-list inside-1_access_in extended permit ip 192.168.20.0 255.255.255.0 object NETWORK_OBJ_192.168.25.0_28
access-list inside-1_access_in extended permit ip 192.168.20.0 255.255.255.0 object obj_any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside-1 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-712.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside-1,outside) source dynamic inside-1 interface
nat (outside,inside-1) source static NETWORK_OBJ_192.168.25.0_28 NETWORK_OBJ_192.168.25.0_28 destination static inside-1 inside-1
access-group outside_access_in in interface outside
access-group inside-1_access_in in interface inside-1
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
http server enable
http 0.0.0.0 0.0.0.0 inside-1
http 192.168.25.0 255.255.255.240 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca trustpoint ASDM_TrustPoint0
enrollment self
subject-name CN=asa-1-2
keypair SSLVPN
crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_TrustPoint0
certificate 3b467851
    30820304 308201ec a0030201 0202043b 46785130 0d06092a 864886f7 0d010105
    05003044 311d301b 06035504 03131474 6d6e2d61 73612d31 2d322e61 6e732e61
    65726f31 23302106 092a8648 86f70d01 09021614 746d6e2d 6173612d 312d322e
    616e732e 6165726f 301e170d 31333034 32363034 32313134 5a170d32 33303432
    34303432 3131345a 3044311d 301b0603 55040313 14746d6e 2d617361 2d312d32
    2e616e73 2e616572 6f312330 2106092a 864886f7 0d010902 1614746d 6e2d6173
    612d312d 322e616e 732e6165 726f3082 0122300d 06092a86 4886f70d 01010105
    00038201 0f003082 010a0282 010100c7 378d39ab 5997aa3e 608b06af fd3953cf
    90bb3e6f c9e1e89c 73b08264 f15b701c a28a261b ab56d69b 27ebbb71 cecf5b9d
    d08e036a 5c10514a 438cb1c3 787394e0 3ca88925 23a62e27 44b0ef42 725663c5
    5cb9b9d3 cbd4bb98 770a9340 a15416c5 ad357b4e a5bb6084 fcf5c851 5c59f42b
    ddf6918c b1bd1bbc a3709ffa aa19faee 2d16e73f cbf5e320 dccb5d7d c33e7460
    b0d536cd 384f324d 2f70b8c0 84401506 349f504e a7c73841 2842f594 26594e5a
    1496b1d4 66e6c590 561f465a 12eaefa4 583d59ee 1978e939 59c5f393 8342f0af
    08694418 09d255a6 5b4a3a96 a1dfe1ad 2ade8391 748d114a 0ae5fc08 355a81d7
    f134e04f 268c0c45 c648fa97 a083df02 03010001 300d0609 2a864886 f70d0101
    05050003 82010100 5baa0f82 96954a79 c596fad0 50db0fea 7ac4e53d 49d5355d
    009a4080 8b2a1017 2e837edb c982d5c4 2a493598 1e49b2fc e933fcc3 44bab13f
    dfcb3cca 9cac0ee3 22c395ae 20e72a14 802b3acf 1542670b 41ec8c97 3be2c55b
    12ea41fc f7abfe4d cf4224e6 32b1608c fbadd3ef 2bcc25f0 aab5e6c3 6c54e383
    08180df5 403ae282 1cf4930f dbacc4ae f0a5ffa5 ceb06c00 0479abe8 8bd48d7e
    97ddbdfd 3b01efde ce13810e 1760cb65 41a12703 32c18a98 e2054785 d4a2b776
    a500de29 6f9d5726 9be8fc3e 0fd286b0 9b3eb6fa ffe2317d 4298aaf1 022245b3
    3a39bda7 f3f09ac6 9abbad46 88a46544 d5451d4e 32ffa732 65c24f25 42a3ecad
    0d19945e e7fbdc9b
  quit
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2    
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint ASDM_TrustPoint0
telnet timeout 5
ssh 192.168.25.0 255.255.255.0 outside
ssh 0.0.0.0 0.0.0.0 inside-1
ssh timeout 30
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 192.168.20.242
ssl trust-point ASDM_TrustPoint0 outside
webvpn
enable outside
no anyconnect-essentials
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
anyconnect profiles AnyConnect-VPN_client_profile disk0:/AnyConnect-VPN_client_profile.xml
anyconnect enable
tunnel-group-list enable
group-policy GroupPolicy_AnyConnect-VPN internal
group-policy GroupPolicy_AnyConnect-VPN attributes
wins-server none
dns-server value 192.168.20.2
vpn-tunnel-protocol ikev2 ssl-client
  webvpn
  anyconnect profiles value AnyConnect-VPN_client_profile type user
tunnel-group AnyConnect-VPN type remote-access
tunnel-group AnyConnect-VPN general-attributes
address-pool AnyConnect-POOL
default-group-policy GroupPolicy_AnyConnect-VPN
tunnel-group AnyConnect-VPN webvpn-attributes
group-alias AnyConnect-VPN enable
!
!
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:561a6438024b5f7cac363630a130389c
: end
asa-1-2#


"Настройка AnyConnect ASA 5505"
Отправлено opennetiq , 27-Апр-13 18:49 
так чо, работает?

у вас НАТ и ACL не корректно настроены


"Настройка AnyConnect ASA 5505"
Отправлено Lioha , 29-Апр-13 07:24 
> так чо, работает?
> у вас НАТ и ACL не корректно настроены

object network obj_any
subnet 0.0.0.0 0.0.0.0
object network inside-1
subnet 192.168.20.0 255.255.255.0
object network NETWORK_OBJ_192.168.25.0_28
subnet 192.168.25.0 255.255.255.240
access-list outside_access_in extended permit ip object NETWORK_OBJ_192.168.25.0_28 192.168.20.0 255.255.255.0
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside-1 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-712.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside-1,outside) source dynamic inside-1 interface
nat (outside,inside-1) source static NETWORK_OBJ_192.168.25.0_28 NETWORK_OBJ_192.168.25.0_28 destination static inside-1 inside-1 no-proxy-arp route-lookup
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 217.145.151.145 1
route inside-1 192.168.101.0 255.255.255.0 192.168.20.254 1

подскажите пож. где именно?


"Настройка AnyConnect ASA 5505"
Отправлено opennetiq , 29-Апр-13 08:42 
оверлоад нат из глобальных настроек уберите и сделайте его в соответвующей OBJECT группе (а именно не в any а сети соответсвующего интерфейса).
В глобальныхнастройках должен быть только двойной нат для сети которая отдаётся клиентам эниконнекта.
посмотрите как делается ACL для сплит тунелинга, это не расширенный ACL а стандартный.
Где permit ip any any в расширенном ACL?
Из какой сети адреса клиентам выдаются (этой сети не должно быть нигде кроме как в настройках эниконнекта)?

"Настройка AnyConnect ASA 5505"
Отправлено crash , 28-Апр-13 11:37 
или я пропустил или скорее всего все таки у вас нет в конфиге какие сети маршрутизировать надо и соответственно клиент не знает маршрутов в ваши сети.