forum.opennet.ru

Составление сообщения

Исходное сообщение

"ASA доступ в интернет через VPN"
Отправлено DenP, 06-Сен-18 14:52

Добрый день всем! Подскажите пожалуйста,есть ASA с настроенным Ipsec. Туппель поднимается,клиенты снаружи пингуют внутренню сеть за VPN шлюзом,но в интренет выйти не могут,все внешние IP недоступны. Я думаю что надо дописывать ACL, но как правльно написать не знаю. И еще проблема,почему то не резолвятся внутрение имена внутренних ПК.Подскажеите пожалуйста.
ip local pool vpn_pool 10.47.1.10-10.47.1.20 mask 255.255.255.224
dns server-group DefaultDNS
name-server 109.195.225.1
name-server 109.195.224.1
domain-name workgroup
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network LAN
subnet 192.168.1.0 255.255.255.0
object network ASA
host 192.168.1.1
object network NETWORK_OBJ_10.47.1.0_27
subnet 10.47.1.0 255.255.255.224
object-group network nat1
network-object object ASA
network-object object NETWORK_OBJ_10.47.1.0_27
access-list inside_access_out extended permit ip any any
access-list outside_access_in extended permit object-group
access-list outside_access_in extended deny ip any 192.168.1.0 255.255.255.0 log errors
access-list outside_access_in extended deny object-group TCPUDP any 192.168.1.0 255.255.255.0 log errors
access-list home_splitTunnelAcl standard permit any4
!
tcp-map Test
reserved-bits drop
!
nat (outside,inside) after-auto source static NETWORK_OBJ_10.47.1.0_27 NETWORK_OBJ_10.47.1.0_27 no-proxy-arp
nat (inside,outside) after-auto source dynamic nat1 interface dns
access-group outside_access_in in interface outside
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca trustpool policy

group-policy home internal
group-policy home attributes
dns-server value 192.168.1.2
vpn-tunnel-protocol ikev1 ikev2
split-tunnel-policy tunnelspecified
split-tunnel-network-list value home_splitTunnelAcl
default-domain value workgroup
split-tunnel-all-dns disable
tunnel-group home type remote-access
tunnel-group home general-attributes
address-pool vpn_pool
default-group-policy home
tunnel-group home ipsec-attributes
ikev1 pre-shared-key Ki2013Pr
tunnel-group-map default-group home
!

Исходное сообщение
"ASA доступ в интернет через VPN" Отправлено DenP, 06-Сен-18 14:52
Добрый день всем! Подскажите пожалуйста,есть ASA с настроенным Ipsec. Туппель поднимается,клиенты снаружи пингуют внутренню сеть за VPN шлюзом,но в интренет выйти не могут,все внешние IP недоступны. Я думаю что надо дописывать ACL, но как правльно написать не знаю. И еще проблема,почему то не резолвятся внутрение имена внутренних ПК.Подскажеите пожалуйста. ip local pool vpn_pool 10.47.1.10-10.47.1.20 mask 255.255.255.224 dns server-group DefaultDNS name-server 109.195.225.1 name-server 109.195.224.1 domain-name workgroup same-security-traffic permit intra-interface object network obj_any subnet 0.0.0.0 0.0.0.0 object network LAN subnet 192.168.1.0 255.255.255.0 object network ASA host 192.168.1.1 object network NETWORK_OBJ_10.47.1.0_27 subnet 10.47.1.0 255.255.255.224 object-group network nat1 network-object object ASA network-object object NETWORK_OBJ_10.47.1.0_27 access-list inside_access_out extended permit ip any any access-list outside_access_in extended permit object-group access-list outside_access_in extended deny ip any 192.168.1.0 255.255.255.0 log errors access-list outside_access_in extended deny object-group TCPUDP any 192.168.1.0 255.255.255.0 log errors access-list home_splitTunnelAcl standard permit any4 ! tcp-map Test reserved-bits drop ! nat (outside,inside) after-auto source static NETWORK_OBJ_10.47.1.0_27 NETWORK_OBJ_10.47.1.0_27 no-proxy-arp nat (inside,outside) after-auto source dynamic nat1 interface dns access-group outside_access_in in interface outside crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec security-association pmtu-aging infinite crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto ca trustpool policy group-policy home internal group-policy home attributes dns-server value 192.168.1.2 vpn-tunnel-protocol ikev1 ikev2 split-tunnel-policy tunnelspecified split-tunnel-network-list value home_splitTunnelAcl default-domain value workgroup split-tunnel-all-dns disable tunnel-group home type remote-access tunnel-group home general-attributes address-pool vpn_pool default-group-policy home tunnel-group home ipsec-attributes ikev1 pre-shared-key Ki2013Pr tunnel-group-map default-group home !

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Добрый день всем! Подскажите пожалуйста,есть ASA с настроенным Ipsec. Туппель поднимается,клиенты 
> снаружи пингуют внутренню сеть за VPN шлюзом,но в интренет выйти не 
> могут,все внешние IP недоступны. Я думаю что надо дописывать ACL, но 
> как правльно написать не знаю. И еще проблема,почему то не резолвятся 
> внутрение имена внутренних ПК.Подскажеите пожалуйста.

> ip local pool vpn_pool 10.47.1.10-10.47.1.20 mask 255.255.255.224

> dns server-group DefaultDNS 
>  name-server 109.195.225.1 
>  name-server 109.195.224.1 
>  domain-name workgroup 
> same-security-traffic permit intra-interface 
> object network obj_any 
>  subnet 0.0.0.0 0.0.0.0 
> object network LAN 
>  subnet 192.168.1.0 255.255.255.0 
> object network ASA 
>  host 192.168.1.1 
> object network NETWORK_OBJ_10.47.1.0_27 
>  subnet 10.47.1.0 255.255.255.224 
> object-group network nat1 
>  network-object object ASA 
>  network-object object NETWORK_OBJ_10.47.1.0_27

> access-list inside_access_out extended permit ip any any 
> access-list outside_access_in extended permit object-group 
> access-list outside_access_in extended deny ip any 192.168.1.0 255.255.255.0 log errors 
 
> access-list outside_access_in extended deny object-group TCPUDP any 192.168.1.0 255.255.255.0 
> log errors 
> access-list home_splitTunnelAcl standard permit any4 
> !
> tcp-map Test 
>   reserved-bits drop 
> !

> nat (outside,inside) after-auto source static NETWORK_OBJ_10.47.1.0_27 NETWORK_OBJ_10.47.1.0_27 
> no-proxy-arp 
> nat (inside,outside) after-auto source dynamic nat1 interface dns 
> access-group outside_access_in in interface outside

> crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac 
> crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac 
> crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
> crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
> crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac 
> crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
> crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
> crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac 
> crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac 
> crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac 
> crypto ipsec security-association pmtu-aging infinite 
> crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1 
> crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA 
> ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA 
> ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 
> crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP 
> crypto map outside_map interface outside 
> crypto ca trustpool policy

> group-policy home internal 
> group-policy home attributes 
>  dns-server value 192.168.1.2 
>  vpn-tunnel-protocol ikev1 ikev2 
>  split-tunnel-policy tunnelspecified 
>  split-tunnel-network-list value home_splitTunnelAcl 
>  default-domain value workgroup 
>  split-tunnel-all-dns disable 
> tunnel-group home type remote-access 
> tunnel-group home general-attributes 
>  address-pool vpn_pool 
>  default-group-policy home 
> tunnel-group home ipsec-attributes 
>  ikev1 pre-shared-key Ki2013Pr 
> tunnel-group-map default-group home 
> !

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру