Cisco ASA 5505 – VPN nu poate accesa anumite rețele (Ingineria rețelelor, Cisco, Cisco Asa, Vpn, Firewall)

BennyP a intrebat.

Mai întâi de toate, am cunoștințe destul de elementare despre Cisco ASA, dar încerc să mă uit la ceva care mă deranjează.

Lucrez prin ASDM, spre deosebire de CLI.

Avem un router Cisco ASA5505 care are rețeaua 192.168.1.x pe linking pe portul Ethernet 0. Avem, de asemenea, un set de switch-uri care sunt conectate la ASA prin portul Ethernet 3 pe 192.168.71.x.

Conectivitatea dintre cele 2 funcționează fără probleme. Problema mea este în prezent cu utilizatorii care intră prin VPN. Atunci când utilizatorii se conectează prin VPN, aceștia obțin o adresă 192.168.73.x dată de ASA. Aceștia pot să acceseze orice pe 192.168.1.x prin Ethernet 0, dar nu pot accesa nimic din rețeaua 192.168.71.x prin Ethernet 3.

Așadar, pe scurt, nu există probleme de conectare la niciuna dintre rețele atunci când se află în interiorul ASA, dar atunci când se conectează la ASA prin VPN, au acces numai la rețeaua 192.168.1.x pe Ethernet 0.

Orice indicații sau informații cu privire la locul unde ar trebui să caut răspunsuri ar fi foarte apreciate, iar dacă aveți nevoie de mai multe informații pentru a vă ajuta, atunci, prin toate mijloacele, pot încerca să vă explic cât mai bine posibil!

UPDATE:

Vizitați www.fresh.co.uk/CiscoConfiguration/Cisco.txt pentru configurarea Cisco ASA.

De asemenea, aveți o problemă aici care ar putea fi o parte a problemei. Sub VPN > Gateway de conectare, există o Intrare acolo pentru rețeaua 71.x (rețeaua necesară accesului), care este îndreptată către gateway-ul incorect. Am încercat să schimb acest lucru cu gateway-ul corect (71.253), dar apare o eroare pentru Cannot Remove Connected route și Cannot add route, Connected route exists.

Comentarii

  • V-ați uitat în jurnal pentru informații de depanare? De asemenea, dacă puteți posta configurația ASA, atunci nu trebuie să ghicim. –  > Por Ron Trunk.
  • Am adăugat un link către fișierul de configurare: www.fresh.co.uk/CiscoConfiguration/Cisco.txt – sper că vă ajută. –  > Por BennyP.
  • Ahh, am scris un răspuns lung, dar apoi mi-am dat seama la jumătatea drumului că rețelele dvs. nu sunt toate /24, iar ceea ce credeam că lipsește din domeniul de criptare nu lipsește de fapt. Voi avea nevoie de ceva mai multe informații pentru a vă ajuta. Ați putea posta rezultatul show vpn-sessiondb detail remote (ar putea fi ra în loc de remote în unele versiuni de cod) și show ipsec sa atunci când aveți un utilizator VPN conectat și încercați să faceți ping la ceva de cealaltă parte a VPN-ului Site-Site? –  > Por Eddie.
  • Nu pot accesa fișierul. Cel mai probabil este o problemă NAT sau ACL. Actualizați postarea dvs. cu o configurație filtrată și ne va fi mult mai ușor să vă ajutăm. Dacă doriți să remediați problema cu rutele, intrați în consolă și faceți următoarele în modul de configurare: route „nume interfață” mască de rețea destinație –  > Por Daniel.
  • Te-a ajutat vreun răspuns? Dacă da, ar trebui să accepți răspunsul pentru ca întrebarea să nu mai apară la nesfârșit, căutând un răspuns. Alternativ, ai putea oferi și accepta propriul răspuns. –  > Por Ron Maupin.
3 răspunsuri
Confuzi

A trebuit să fac o schimbare similară recent. Trebuia să adaug două subrețele suplimentare. Deși am folosit CLI mai degrabă decât ASDM. Cu versiunea 9.1, am creat niște obiecte noi pentru subrețele și apoi a fost doar o chestiune de adăugare a subrețelelor suplimentare la ACL-ul split-tunnel (dacă este utilizat), precum și de adăugare a unor reguli NAT suplimentare.

De exemplu:

object network {REMOTE_VPN_USER_SUBNET}
 subnet 10.0.1.0 255.255.255.0
object network {EXISTING_VPN_ACCESSIBLE_SUBNET_1}
 subnet 10.0.2.0 255.255.255.0
object network {NEW_VPN_ACCESSIBLE_SUBNET_2}
 subnet 10.0.3.0 255.255.254.0
object network {NEW_VPN_ACCESSIBLE_SUBNET_3}
 subnet 10.0.4.0 255.255.255.0

split-tunnel-network-list value {YOUR_SPLIT-TUNNEL_LIST}
access-list {YOUR_SPLIT-TUNNEL_LIST} standard permit 10.0.1.0 255.255.255.0 
access-list {YOUR_SPLIT-TUNNEL_LIST} standard permit 10.0.2.0 255.255.255.0 
access-list {YOUR_SPLIT-TUNNEL_LIST} standard permit 10.0.3.0 255.255.255.0 

nat (RELEVANT_INTERFACE_OR_VLAN_NAME,outside) source static {EXISTING_VPN_ACCESSIBLE_SUBNET_1} {EXISTING_VPN_ACCESSIBLE_SUBNET_1} destination static {REMOTE_VPN_USER_SUBNET} {REMOTE_VPN_USER_SUBNET} no-proxy-arp route-lookup
nat (RELEVANT_INTERFACE_OR_VLAN_NAME,outside) source static {NEW_VPN_ACCESSIBLE_SUBNET_2} {NEW_VPN_ACCESSIBLE_SUBNET_2} destination static {REMOTE_VPN_USER_SUBNET} {REMOTE_VPN_USER_SUBNET} no-proxy-arp route-lookup
nat (RELEVANT_INTERFACE_OR_VLAN_NAME,outside) source static {NEW_VPN_ACCESSIBLE_SUBNET_3} {NEW_VPN_ACCESSIBLE_SUBNET_3} destination static {REMOTE_VPN_USER_SUBNET} {REMOTE_VPN_USER_SUBNET} no-proxy-arp route-lookup

Ronnie Royston

Aruncați o privire la Setările IPSec (opțional). Probabil că trebuie să modificați „interface” și/sau „exempt networks” (rețele exceptate) – care rețea(e) este (sunt) supusă(e) NAT și care nu.

Comentarii

  • În cadrul setărilor IPSec, „Activați sesiunile VPN de intrare pentru a ocoli listele de acces la interfață”. Listele de acces din Group Policy și de autorizare per utilizator se aplică în continuare la trafic” este în prezent bifată. Am inclus interfața în opțiunea „Allow access” (Permiteți accesul), dar tot nu am avut noroc în această privință. Configurația se află la www.fresh.co.uk/CiscoConfiguration/Cisco.txt. Mulțumesc –  > Por BennyP.
Adminomous

Verificați politica de grup asociată profilului AnyConnect și asigurați-vă că ACL-ul utilizat pentru acesta permite trecerea traficului către subrețeaua necesară.