एएसए 5505 रिमोट एक्सेस वीपीएन - कनेक्शन स्थापित, लेकिन कोई इंटरनेट / आंतरिक सबनेट तक पहुंच नहीं


10

अपडेट करें

अंत में 9.1.4 में अपग्रेड हो गया। मुझे सब कुछ कॉन्फ़िगर किया गया, वीपीएन को फिर से जोड़ा गया, और अभी भी वही समस्या थी। इसलिए, मैंने सभी वीपीएन कॉन्फिगर जानकारी को क्लियर कर दिया और स्क्रैच से शुरू कर दिया। नीचे मेरा वर्तमान विन्यास है। मैं आंतरिक नेटवर्क पर संसाधनों को कनेक्ट और एक्सेस करने में सक्षम हूं। हालांकि, मैं वीपीएन के माध्यम से इंटरनेट तक पहुंचने में सक्षम नहीं हूं।

xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
ip local pool VPNPool 192.168.3.1-192.168.3.30
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
 switchport access vlan 2
!
interface Ethernet0/2
 switchport access vlan 2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
 description Private-Interface
 nameif inside
 security-level 100
 ip address 10.3.3.1 255.255.255.0 
!
interface Vlan2
 description Public-Interface
 nameif outside
 security-level 0
 ip address xx.xx.xx.xx 255.255.255.248 
!
boot system disk0:/asa914-k8.bin
object network obj-10.3.3.0
 subnet 10.3.3.0 255.255.255.0
object network vpn_nat
 subnet 192.168.3.0 255.255.255.0
object-group service Internet-udp udp
 description UDP Standard Internet Services
 port-object eq domain
 port-object eq ntp
object-group service Internet-tcp tcp
 description TCP Standard Internet Services
 port-object eq www
 port-object eq https
 port-object eq smtp
 port-object eq 465
 port-object eq pop3
 port-object eq 995
 port-object eq ftp
 port-object eq ftp-data
 port-object eq domain
 port-object eq ssh
object-group network Internal-Subnet
object-group network obj-vpnpool
access-list inside-in remark -=[Access Lists for Outgoing Packets from Inside interface]=-
access-list inside-in extended permit udp 10.3.3.0 255.255.255.0 any4 object-group Internet-udp 
access-list inside-in extended permit tcp 10.3.3.0 255.255.255.0 any4 object-group Internet-tcp 
access-list inside-in extended permit icmp 10.3.3.0 255.255.255.0 any4 
access-list outside-in remark -=[Access Lists for Incoming Packets on OUTSIDE interface]=-
access-list outside-in extended permit icmp any4 any4 echo-reply 
access-list outside-in extended permit icmp any4 any4 echo 
access-list vpn_splitTunnelAcl standard permit 10.3.3.0 255.255.255.0 
nat (inside,outside) source static obj-10.3.3.0 obj-10.3.3.0 destination static vpn_nat vpn_nat no-proxy-arp route-lookup
object network obj-10.3.3.0
 nat (inside,outside) dynamic interface
access-group inside-in in interface inside
access-group outside-in in interface outside
route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1 
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication telnet console LOCAL 
aaa authentication http console LOCAL 
aaa authentication ssh console LOCAL 
http server enable
http 10.3.3.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec ikev1 transform-set vpn-transform-set-ikev1 esp-3des esp-sha-hmac 
crypto ipsec ikev1 transform-set vpn-transform-set-ikev1 mode transport
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map dyno 10 set ikev1 transform-set vpn-transform-set-ikev1
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto ca trustpool policy
crypto isakmp nat-traversal 3600
crypto ikev1 enable outside
crypto ikev1 policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh 10.3.3.0 255.255.255.0 inside
ssh timeout 20
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0

dhcpd address 10.3.3.100-10.3.3.150 inside dhcpd dns xx.xx.xx.xx xx.xx.xx.xx interface inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics host number-of-rate 2 threat-detection statistics port number-of-rate 2 threat-detection statistics protocol number-of-rate 2 threat-detection statistics access-list no threat-detection statistics tcp-intercept group-policy vpn_policy internal group-policy vpn_policy attributes vpn-tunnel-protocol l2tp-ipsec split-tunnel-policy tunnelspecified split-tunnel-network-list value vpn_splitTunnelAcl username mike password x username mike attributes vpn-tunnel-protocol l2tp-ipsec username admin password x encrypted privilege 15 tunnel-group DefaultRAGroup general-attributes address-pool VPNPool default-group-policy vpn_policy tunnel-group DefaultRAGroup ipsec-attributes ikev1 pre-shared-key * tunnel-group DefaultRAGroup ppp-attributes authentication ms-chap-v2 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny
inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip
inspect xdmcp class class-default user-statistics accounting ! service-policy global_policy global prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily : end

पुरानी सामग्री

मैं एक एएसए 5505, संस्करण 8.2 (5) पर IPSec रिमोट एक्सेस वीपीएन पर एक L2TP स्थापित करने की कोशिश कर रहा हूं। मैं प्रमाणित करने में सक्षम हूं और एक कनेक्शन स्थापित है। हालांकि, मैं आंतरिक नेटवर्क पर संसाधनों तक पहुंचने या इंटरनेट तक पहुंचने में सक्षम नहीं हूं। इसके अलावा, एएसए कनेक्टेड क्लाइंट को पिंग करने में सक्षम नहीं है।

कनेक्टेड क्लाइंट पर मैं एएसए के बाहरी आईपी को पिंग कर सकता हूं। जब मैं ऐसा करता हूं, तो मुझे एएसए पर एन्क्रिप्टेड और डिक्रिप्टेड पैकेट काउंट भी दिखाई देता है show crypto ipsec sa

मैंने NAT के साथ और मार्गों के साथ कुछ चीजें करने की कोशिश की है, लेकिन अभी यह काम नहीं कर सकता।

मेरा आंतरिक नेटवर्क 10.3.3.0/24 है और मेरा वीपीएन पूल 192.168.3.0/24 है। नीचे मैंने कॉन्फिग के संबंधित अंशों को कॉपी किया है।


object-group service Internet-udp udp
 description UDP Standard Internet Services
 port-object eq domain
 port-object eq ntp
object-group service Internet-tcp tcp
 description TCP Standard Internet Services
 port-object eq www
 port-object eq https
 port-object eq smtp
 port-object eq 465
 port-object eq pop3
 port-object eq 995
 port-object eq ftp
 port-object eq ftp-data
 port-object eq domain
 port-object eq ssh
 port-object eq 993
object-group network Internal-Subnet
object-group network obj-vpnpool
access-list inside-in remark -=[Access Lists for Outgoing Packets from Inside interface]=-
access-list inside-in extended permit udp 10.3.3.0 255.255.255.0 any object-group Internet-udp
access-list inside-in extended permit tcp 10.3.3.0 255.255.255.0 any object-group Internet-tcp
access-list inside-in extended permit icmp 10.3.3.0 255.255.255.0 any
access-list outside-in remark -=[Access Lists for Incoming Packets on OUTSIDE interface]=-
access-list outside-in extended permit icmp any any echo-reply
access-list DefaultRAGroup_splitTunnelAcl standard permit 10.3.3.0 255.255.255.0
access-list DefaultRAGroup_splitTunnelAcl standard permit 192.168.3.96 255.255.255.224
access-list inside_nat0_outbound extended permit ip 10.3.3.0 255.255.255.0 192.168.3.0 255.255.255.0

ip local pool VPNPool 192.168.3.100-192.168.3.120 mask 255.255.255.0

nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 10.3.3.0 255.255.255.0
access-group inside-in in interface inside
access-group outside-in in interface outside
route outside 0.0.0.0 0.0.0.0 **.**.**.** 1

group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
 dns-server value **.**.**.** **.**.**.**
 vpn-tunnel-protocol l2tp-ipsec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl

crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac 
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac 
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac 
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac 
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac 
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac 
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set TRANS_ESP_3DES_SHA ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha     
 group 2
 lifetime 86400


अपडेट १

मैंने रॉन का सुझाव लिया और सीखा कि packet-tracerकमांड कैसे कार्य करते हैं। यहाँ कुछ चीजें हैं जो मुझे जारी करने के बाद मिलींpacket-tracer input inside icmp 10.3.3.100 8 0 192.168.3.100


Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   192.168.3.100   255.255.255.255 outside

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside-in in interface inside
access-list inside-in extended permit icmp 10.3.3.0 255.255.255.0 any 
Additional Information:

Phase: 3
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 4      
Type: INSPECT 
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: NAT-EXEMPT
Subtype: 
Result: ALLOW
Config:
  match ip inside 10.3.3.0 255.255.255.0 outside 192.168.3.0 255.255.255.0
    NAT exempt
    translate_hits = 16, untranslate_hits = 2
Additional Information:

Phase: 6
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside) 1 10.3.3.0 255.255.255.0
  match ip inside 10.3.3.0 255.255.255.0 outside any
    dynamic translation to pool 1 (**.**.**.** [Interface PAT])
    translate_hits = 21582, untranslate_hits = 2392
Additional Information:

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
nat (inside) 1 10.3.3.0 255.255.255.0
  match ip inside 10.3.3.0 255.255.255.0 inside any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 0, untranslate_hits = 0
Additional Information:

Phase: 8
Type: HOST-LIMIT
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: L2TP-PPP
Subtype: 
Result: ALLOW 
Config:
Additional Information:

Phase: 10
Type: PPP
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 23037, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

चरण 6 एक NAT अनुवाद दिखाता है। मैं इसके बाद इको-रिप्लाई की जांच करता हूं packet-tracer input outside icmp 192.168.3.100 0 0 10.3.3.100


Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.3.3.0        255.255.255.0   inside

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside-in in interface outside
access-list outside-in extended permit icmp any any echo-reply 
Additional Information:

Phase: 3
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 4      
Type: CP-PUNT
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: L2TP-PPP
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW 
Config:
Additional Information:

Phase: 8
Type: NAT-EXEMPT
Subtype: rpf-check
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: HOST-LIMIT
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside) 1 10.3.3.0 255.255.255.0
  match ip inside 10.3.3.0 255.255.255.0 outside any
    dynamic translation to pool 1 (**.**.**.** [Interface PAT])
    translate_hits = 21589, untranslate_hits = 2392
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 23079, packet dispatched to next module

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

चरण 8 शो NAT-EXEMPTलेकिन चरण 10 एक NAT अनुवाद दिखाता है। यह समस्याग्रस्त होगा।


अपडेट २

show vpn-sessiondb detail remote filter protocol L2TPOverIPSecक्लाइंट से कनेक्ट होने के दौरान वर्तमान में कुछ भी नहीं मिलता है।

दूसरी तरफ show vpn-sessiondb detail remote filter protocol L2TPOverIPSecOverNatTकनेक्टेड क्लाइंट को दिखाता है। क्लाइंट पर काम करने की कोशिश करते समय, बाइट्स आरएक्स और पीकेटी आरएक्स में वृद्धि होती है। बाइट्स Tx और Pkts Tx में वृद्धि नहीं होती है (Pkts Tx 17 पर रहता है)। Pkts Tx ड्रॉप और Pkts Rx ड्रॉप दोनों 0. 0. यदि मैं 192.168.3.100 (vpn क्लाइंट) पिंग करता हूं, तो Pkts Tx प्रत्येक पिंग के लिए बढ़ जाता है।


अपडेट ३

मैंने एएसए पर लॉगिंग सक्षम की और एक कनेक्शन स्थापित किया। यहाँ कुछ दिलचस्प लॉग संदेश देख रहा हूँ


%ASA-6-737026: IPAA: Client assigned 192.168.3.100 from local pool
ppp_virtual_interface_id is 1, client_dynamic_ip is 192.168.3.100
%ASA-7-609001: Built local-host outside:192.168.3.100
%ASA-2-106001: Inbound TCP connection denied from 192.168.3.100/57013 to **.**.**.**/443 flags SYN  on interface outside
%ASA-2-106001: Inbound TCP connection denied from 192.168.3.100/57013 to **.**.**.**/443 flags SYN  on interface outside
%ASA-2-106001: Inbound TCP connection denied from 192.168.3.100/57013 to **.**.**.**/443 flags SYN  on interface outside
%ASA-2-106007: Deny inbound UDP from 192.168.3.100/9562 to **.**.**.**/53 due to DNS Query
%ASA-2-106007: Deny inbound UDP from 192.168.3.100/61529 to **.**.**.**/53 due to DNS Query
%ASA-2-106007: Deny inbound UDP from 192.168.3.100/38824 to **.**.**.**/53 due to DNS Query

%ASA-3-713042: IKE Initiator unable to find policy: Intf inside, Src: 10.3.3.100, Dst: 192.168.3.100
%ASA-3-713042: IKE Initiator unable to find policy: Intf inside, Src: 10.3.3.100, Dst: 192.168.3.100

क्या आपने एएसए के पैकेट ट्रैसर फीचर का उपयोग करके यह देखने की कोशिश की है कि चीजें कहां से खराब हो सकती हैं?
रॉन ट्रंक

@ वीपीएन से http पैकेट का अनुकरण करने के लिए क्या मैं 192.168.3.100 50612 8.8.8.8 80 के बाहर इस पैकेट-ट्रेसर इनपुट का उपयोग करूंगा ? मुझे भ्रम है कि मुझे वीपीएन ट्रैफ़िक के लिए बाहर या अंदर का उपयोग करना चाहिए या नहीं ।
mikeazo

प्रयोग के रूप में, nat (1) स्टेटमेंट को हटा दें और देखें कि क्या यह काम करता है।
रॉन ट्रंक


2
हालांकि, मैं वीपीएन के माध्यम से इंटरनेट तक पहुंचने में सक्षम नहीं हूं। ऐसा लगता है कि आप एक विभाजित सुरंग के लिए कॉन्फ़िगर किए गए हैं ताकि आप इंटरनेट ट्रैफ़िक के लिए सुरंग का उपयोग नहीं करेंगे। यदि आप सभी ट्रैफ़िक को टनल करते हैं तो आपको वीपीएन के माध्यम से इंटरनेट का उपयोग करने में सक्षम होना चाहिए।
जेम्स.बिरिंघम

जवाबों:


1

ग्राहक के लिए वीपीएन सुरंग के बाहर संसाधनों से जुड़ने में सक्षम होने के लिए, एक विभाजित सुरंग को कॉन्फ़िगर करना होगा। यह एडेप्टर को अपने रूट टेबल के बाहर के मार्गों को इनहेरिट करने की अनुमति देगा और साथ ही ट्रैफ़िक को बाहर करने की अनुमति देगा। कनेक्ट पर रूट जोड़ना समस्या का केवल एक हिस्सा है।

यहां एडीएम और सीएलआई के लिए लिंक के साथ लिंक है http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/70917-asa -split-सुरंग वीपीएन-client.html


1

सभी जवाब एक विभाजित सुरंग का सुझाव देते हैं, जो मुझे लगता है कि मेरे पास सेटअप सही था।

अंत में, मैं आंतरिक नेटवर्क पर एक प्रॉक्सी सर्वर सेटअप करता हूं। यदि मेरा ब्राउज़र उस पर इंगित किया गया था, तो मैं इसके माध्यम से इंटरनेट तक पहुंच सकता हूं।


0

इंटरनेट का उपयोग करने के लिए स्प्लिट टनल को कॉन्फ़िगर करना होगा, क्योंकि स्प्लिट टनल यह परिभाषित करती है कि टनल से ट्रैफ़िक जाएगा और क्या नहीं, क्योंकि डिफ़ॉल्ट रूप से सभी ट्रैफ़िक टनल द्वारा जाएंगे। यू आपके कंप्यूटर पर टाइप करके देख सकते हैं (प्रिंट रूट), कि सभी ट्रैफिक सुरंग से जाएंगे, और अगर आप न तो स्प्लिट सुरंग का उपयोग करना चाहते हैं, तो हमारे पास एक और उपाय है कि आप रिवर्स नैटिंग को कॉन्फ़िगर कर सकते हैं, पहला पैकेट आपके रिमोट पर जाएगा सर्वर और रिमोट सर्वर इंटरनेट पर वापस भेज देंगे


0

मुझे संदेह है कि स्प्लिट टनलिंग का IPSec पर L2TP के साथ समर्थन नहीं किया जा सकता है। क्या आप मेरे लिए निम्नलिखित प्रयास कर सकते हैं?

conf t
!
same-security-traffic permit intra-interface
!
object network vpn_nat
 nat (outside,outside) dynamic interface
!

मैंने यह भी देखा कि आपकी अद्यतन समूह नीति में DNS सर्वर विन्यास गायब है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.