Jump to content

ASA доступ в интернет через VPN

DenP
 Share

Recommended Posts

DenP

DenP

Posted
Posted (edited)

Добрый день всем! Подскажите пожалуйста,есть ASA с настроенным Ipsec. Туппель поднимается,клиенты снаружи пингуют внутренню сеть за VPN шлюзом,но в интренет выйти не могут,все внешние IP недоступны. Я думаю что надо дописывать ACL, но как правльно написать не знаю. И еще проблема,почему то не резолвятся внутрение имена внутренних ПК.Подскажеите пожалуйста.

running-config_F.cfg.txt

Edited by DenP
DenP

DenP

Posted
  • Author
Posted
47 minutes ago, zhenya` said:

nat правило нужно.

Спасибо разобрался заработало.А по поводу того что не резолвятся имена ПК можете подсказать куда копать?

DenP

DenP

Posted
  • Author
Posted (edited)
On 06.09.2018 at 2:48 PM, zhenya` said:

nat правило нужно.

Проверил как мое правило работает,в итоге не очень,при перезагрузки ASA либо впн разваливается либо нат. Подскажите пожалуйста как правило настроить ASA?

Edited by DenP
jffulcrum

jffulcrum

Posted
Posted

Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. 

DenP

DenP

Posted
  • Author
Posted
5 hours ago, jffulcrum said:

Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. 

Дело в том,что в группе НАТ "object-group network nat1" пула адресов ВПН нет.  route-lookup на правиле НАТ не дает прописать

DenP

DenP

Posted
  • Author
Posted
On 08.09.2018 at 1:20 PM, jffulcrum said:

Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. 

вроде опять заработало,впн не рушится,пинги есть. Конфиг во вложении.Спасибо!

ipsec.txt

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.