Jump to content
Калькуляторы

ASA доступ в интернет через VPN

Добрый день всем! Подскажите пожалуйста,есть ASA с настроенным Ipsec. Туппель поднимается,клиенты снаружи пингуют внутренню сеть за VPN шлюзом,но в интренет выйти не могут,все внешние IP недоступны. Я думаю что надо дописывать ACL, но как правльно написать не знаю. И еще проблема,почему то не резолвятся внутрение имена внутренних ПК.Подскажеите пожалуйста.

running-config_F.cfg.txt

Edited by DenP

Share this post


Link to post
Share on other sites
21 minutes ago, zhenya` said:

nat правило нужно.

А может у вас есть пример,япытался но что то не идут пинги,чего то не понимаю?

Share this post


Link to post
Share on other sites
47 minutes ago, zhenya` said:

nat правило нужно.

Спасибо разобрался заработало.А по поводу того что не резолвятся имена ПК можете подсказать куда копать?

Share this post


Link to post
Share on other sites
18 minutes ago, zhenya` said:

192.168.1.2 что-то видимо на этой узле не так.

ок,посмотрю,спасибо за отзывчивость!

Share this post


Link to post
Share on other sites

@DenP а можно, для истории, прикрепить работающий с НАТом конфиг

Share this post


Link to post
Share on other sites
13 hours ago, guеst said:

@DenP а можно, для истории, прикрепить работающий с НАТом конфиг

да,на выходных выложу

Share this post


Link to post
Share on other sites
On 06.09.2018 at 2:48 PM, zhenya` said:

nat правило нужно.

Проверил как мое правило работает,в итоге не очень,при перезагрузки ASA либо впн разваливается либо нат. Подскажите пожалуйста как правило настроить ASA?

Edited by DenP

Share this post


Link to post
Share on other sites

Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. 

Share this post


Link to post
Share on other sites
5 hours ago, jffulcrum said:

Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. 

Дело в том,что в группе НАТ "object-group network nat1" пула адресов ВПН нет.  route-lookup на правиле НАТ не дает прописать

Share this post


Link to post
Share on other sites
On 08.09.2018 at 1:20 PM, jffulcrum said:

Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. 

вроде опять заработало,впн не рушится,пинги есть. Конфиг во вложении.Спасибо!

ipsec.txt

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now