DenP Posted September 6, 2018 (edited) · Report post Добрый день всем! Подскажите пожалуйста,есть ASA с настроенным Ipsec. Туппель поднимается,клиенты снаружи пингуют внутренню сеть за VPN шлюзом,но в интренет выйти не могут,все внешние IP недоступны. Я думаю что надо дописывать ACL, но как правльно написать не знаю. И еще проблема,почему то не резолвятся внутрение имена внутренних ПК.Подскажеите пожалуйста. running-config_F.cfg.txt Edited September 6, 2018 by DenP Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 6, 2018 · Report post nat правило нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DenP Posted September 6, 2018 · Report post 21 minutes ago, zhenya` said: nat правило нужно. А может у вас есть пример,япытался но что то не идут пинги,чего то не понимаю? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DenP Posted September 6, 2018 · Report post 47 minutes ago, zhenya` said: nat правило нужно. Спасибо разобрался заработало.А по поводу того что не резолвятся имена ПК можете подсказать куда копать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 6, 2018 · Report post 192.168.1.2 что-то видимо на этой узле не так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DenP Posted September 6, 2018 · Report post 18 minutes ago, zhenya` said: 192.168.1.2 что-то видимо на этой узле не так. ок,посмотрю,спасибо за отзывчивость! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
guеst Posted September 7, 2018 · Report post @DenP а можно, для истории, прикрепить работающий с НАТом конфиг Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DenP Posted September 7, 2018 · Report post 13 hours ago, guеst said: @DenP а можно, для истории, прикрепить работающий с НАТом конфиг да,на выходных выложу Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DenP Posted September 7, 2018 (edited) · Report post On 06.09.2018 at 2:48 PM, zhenya` said: nat правило нужно. Проверил как мое правило работает,в итоге не очень,при перезагрузки ASA либо впн разваливается либо нат. Подскажите пожалуйста как правило настроить ASA? Edited September 7, 2018 by DenP Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted September 8, 2018 · Report post Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DenP Posted September 8, 2018 · Report post 5 hours ago, jffulcrum said: Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. Дело в том,что в группе НАТ "object-group network nat1" пула адресов ВПН нет. route-lookup на правиле НАТ не дает прописать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DenP Posted September 9, 2018 · Report post On 08.09.2018 at 1:20 PM, jffulcrum said: Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. вроде опять заработало,впн не рушится,пинги есть. Конфиг во вложении.Спасибо! ipsec.txt Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...