DenP Опубликовано 6 сентября, 2018 (изменено) · Жалоба Добрый день всем! Подскажите пожалуйста,есть ASA с настроенным Ipsec. Туппель поднимается,клиенты снаружи пингуют внутренню сеть за VPN шлюзом,но в интренет выйти не могут,все внешние IP недоступны. Я думаю что надо дописывать ACL, но как правльно написать не знаю. И еще проблема,почему то не резолвятся внутрение имена внутренних ПК.Подскажеите пожалуйста. running-config_F.cfg.txt Изменено 6 сентября, 2018 пользователем DenP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 сентября, 2018 · Жалоба nat правило нужно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenP Опубликовано 6 сентября, 2018 · Жалоба 21 minutes ago, zhenya` said: nat правило нужно. А может у вас есть пример,япытался но что то не идут пинги,чего то не понимаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenP Опубликовано 6 сентября, 2018 · Жалоба 47 minutes ago, zhenya` said: nat правило нужно. Спасибо разобрался заработало.А по поводу того что не резолвятся имена ПК можете подсказать куда копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 сентября, 2018 · Жалоба 192.168.1.2 что-то видимо на этой узле не так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenP Опубликовано 6 сентября, 2018 · Жалоба 18 minutes ago, zhenya` said: 192.168.1.2 что-то видимо на этой узле не так. ок,посмотрю,спасибо за отзывчивость! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 7 сентября, 2018 · Жалоба @DenP а можно, для истории, прикрепить работающий с НАТом конфиг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenP Опубликовано 7 сентября, 2018 · Жалоба 13 hours ago, guеst said: @DenP а можно, для истории, прикрепить работающий с НАТом конфиг да,на выходных выложу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenP Опубликовано 7 сентября, 2018 (изменено) · Жалоба On 06.09.2018 at 2:48 PM, zhenya` said: nat правило нужно. Проверил как мое правило работает,в итоге не очень,при перезагрузки ASA либо впн разваливается либо нат. Подскажите пожалуйста как правило настроить ASA? Изменено 7 сентября, 2018 пользователем DenP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 8 сентября, 2018 · Жалоба Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenP Опубликовано 8 сентября, 2018 · Жалоба 5 hours ago, jffulcrum said: Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. Дело в том,что в группе НАТ "object-group network nat1" пула адресов ВПН нет. route-lookup на правиле НАТ не дает прописать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenP Опубликовано 9 сентября, 2018 · Жалоба On 08.09.2018 at 1:20 PM, jffulcrum said: Надо из NAT исключать адреса самого VPN - тот пул, что отдается клиентам. Правила NAT отрабатывают ДО политик VPN, и если просто включить NAT, да еще и на том же интерфейсе. на который пакеты VPN прилетают, то пакеты в сторону клиентов VPN будут прекрасно заворачиваться в NAT и до клиентов не долетать. Я уже плохо помню, На ISR делается ACL и правило policy, на ASA раньше был спецхинт route-lookup в правил NAT, который заставлял роутер сперва смотреть назначение пакета, а уж потом решать, NATить его, или нет. вроде опять заработало,впн не рушится,пинги есть. Конфиг во вложении.Спасибо! ipsec.txt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...