Jump to content
Калькуляторы

ASA доступ в интернет через VPN

Добрый день всем! Подскажите пожалуйста,есть ASA с настроенным Ipsec. Туппель поднимается,клиенты снаружи пингуют внутренню сеть за VPN шлюзом,но в интренет выйти не могут,все внешние IP недоступны. Я думаю что надо дописывать ACL, но как правльно написать не знаю. И еще проблема,почему то не резолвятся внутрение имена внутренних ПК.Подскажеите пожалуйста.

running-config_F.cfg.txt

Edited by DenP

Share this post


Link to post
Share on other sites

47 minutes ago, zhenya` said:

nat правило нужно.

Спасибо разобрался заработало.А по поводу того что не резолвятся имена ПК можете подсказать куда копать?

Share this post


Link to post
Share on other sites

On 06.09.2018 at 2:48 PM, zhenya` said:

nat правило нужно.

Проверил как мое правило работает,в итоге не очень,при перезагрузки ASA либо впн разваливается либо нат. Подскажите пожалуйста как правило настроить ASA?

Edited by DenP

Share this post


Link to post
Share on other sites

Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. 

Share this post


Link to post
Share on other sites

5 hours ago, jffulcrum said:

Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. 

Дело в том,что в группе НАТ "object-group network nat1" пула адресов ВПН нет.  route-lookup на правиле НАТ не дает прописать

Share this post


Link to post
Share on other sites

On 08.09.2018 at 1:20 PM, jffulcrum said:

Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. 

вроде опять заработало,впн не рушится,пинги есть. Конфиг во вложении.Спасибо!

ipsec.txt

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.