Здравствуйте!

На пиксе поднял Cisco VPN.
Пользователь выполняет следующие действия:

1.    Подключается к инету
2.    Устанавливает соединение через Cisco VPN Client
3.    Проходит авторизацию (локальная база на пиксе)
4.    Попадает в корпоративную сеть.

Когда пользователь попадает в корпоративную сеть у него отсутствует Инет, при этом и DNS и прокси-сервер пингуются.
Если выполнить команду nslookup почему-то маршрут идет на внешний DNS (т.е. тот который присваивается при подключении к Инету, до соединения с Cisco VPN Client).

На пиксе прописано:
group-policy ciscovpn internal
group-policy ciscovpn attributes
dns-server value 10.10.1.1
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split

Что можете подсказать?

• VPN на Cisco PiX,ilya, 10:36 , 22-Янв-09
• VPN на Cisco PiX,Roman, 13:38 , 22-Янв-09
  • VPN на Cisco PiX,lomo, 13:45 , 22-Янв-09
    • VPN на Cisco PiX,Roman, 15:19 , 22-Янв-09
      • VPN на Cisco PiX,Roman, 16:49 , 22-Янв-09
  • VPN на Cisco PiX,ilya, 08:34 , 23-Янв-09
    • VPN на Cisco PiX,Roman, 11:24 , 23-Янв-09
      • VPN на Cisco PiX,Roman, 19:19 , 23-Янв-09
        • VPN на Cisco PiX,Роман, 21:35 , 23-Янв-09
          • VPN на Cisco PiX,ilya, 01:38 , 25-Янв-09
            • VPN на Cisco PiX,Roman, 11:56 , 25-Янв-09
              • VPN на Cisco PiX,ilya, 17:08 , 25-Янв-09
                • VPN на Cisco PiX,Роман, 19:24 , 25-Янв-09
                  • VPN на Cisco PiX,ilya, 21:35 , 25-Янв-09
                    • VPN на Cisco PiX,Роман, 00:37 , 26-Янв-09
                      • VPN на Cisco PiX,ilya, 10:16 , 26-Янв-09
                • VPN на Cisco PiX,Роман, 21:15 , 25-Янв-09
                  • VPN на Cisco PiX,maputa, 10:39 , 26-Янв-09
                    • VPN на Cisco PiX,Roman, 11:29 , 26-Янв-09
• VPN на Cisco PiX,Roman, 15:01 , 28-Янв-09

>[оверквотинг удален]
>Client).
>
>На пиксе прописано:
>group-policy ciscovpn internal
>group-policy ciscovpn attributes
> dns-server value 10.10.1.1
> split-tunnel-policy tunnelspecified
> split-tunnel-network-list value split
>
>Что можете подсказать?

покажите асл split

access-list split extended permit ip any 10.10.16.0 255.255.255.0

group-policy ciscovpn attributes
dns-server value 10.10.1.14
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
split-dns value 10.10.1.14
msie-proxy server value 10.10.1.144:8080

> split-dns value 10.10.1.14

Немного не так надо.
Надо так:

split-dns value domain.com

тогда все в домене domain.com будет резолвится через Ваш корпоративный DNS, остальное через DNS провайдера Инет.

>> split-dns value 10.10.1.14
>
>Немного не так надо.
>Надо так:
>
>split-dns value domain.com
>
>тогда все в домене domain.com будет резолвится через Ваш корпоративный DNS, остальное
>через DNS провайдера Инет.

Не совсем понял о каком домене идет речь? AD?
или domain.com - это типа "служебное" значение...

>[оверквотинг удален]
>>Немного не так надо.
>>Надо так:
>>
>>split-dns value domain.com
>>
>>тогда все в домене domain.com будет резолвится через Ваш корпоративный DNS, остальное
>>через DNS провайдера Инет.
>
>Не совсем понял о каком домене идет речь? AD?
>или domain.com - это типа "служебное" значение...

PIX525(config-group-policy)# dns-server value dns_server.ru
                                              ^
ERROR: % Invalid input detected at '^' marker.

не получается...

>access-list split extended permit ip any 10.10.16.0 255.255.255.0
>
>group-policy ciscovpn attributes
> dns-server value 10.10.1.14
> split-tunnel-policy tunnelspecified
> split-tunnel-network-list value split
> split-dns value 10.10.1.14
> msie-proxy server value 10.10.1.144:8080

т.е. задача клиенту обеспечить резолвинг днс-имен через корп. днс сервер? так?

>>access-list split extended permit ip any 10.10.16.0 255.255.255.0
>>
>>group-policy ciscovpn attributes
>> dns-server value 10.10.1.14
>> split-tunnel-policy tunnelspecified
>> split-tunnel-network-list value split
>> split-dns value 10.10.1.14
>> msie-proxy server value 10.10.1.144:8080
>
>т.е. задача клиенту обеспечить резолвинг днс-имен через корп. днс сервер? так?

Да, + необходимо чтобы пользователи VPN через прокси-сервер выходили в ресурсам компании...

Есть предположение, что проблема не только (! возможно не в DNS), а в шлюзе???? (возможно).
При установке VPN туннеля присваивается IP-адрес из пула адресов, например 10.10.16.7, шлюз почему-то присваивается либо 10.10.16.7 (т.е. соответствует получившему IP адресу), либо 10.10.16.1.
Если указать ping yandex.ru, ошибка поиска узла,
если указать ping 93.158.134.11 (yandex.ru), пинг не проходит.

Вот что содержится в логах:

Jan 23 2009 12:47:18: %PIX-6-113012: AAA user authentication Successful : local database : user = User_Name
2009-01-23 12:52:24    Local4.Debug    10.10.10.10    Jan 23 2009 12:47:18: %PIX-7-715019: Group = ciscovpn, Username = User_Name, IP = 85.173.0.0, IKEGetUserAttributes: primary DNS = cleared
2009-01-23 12:52:24    Local4.Debug    10.10.10.10    Jan 23 2009 12:47:18: %PIX-7-715019: Group = ciscovpn, Username = User_Name, IP = 85.173.0.0, IKEGetUserAttributes: secondary DNS = cleared
2009-01-23 12:52:24    Local4.Debug    10.10.10.10    Jan 23 2009 12:47:18: %PIX-7-715019: Group = ciscovpn, Username = User_Name, IP = 85.173.0.0, IKEGetUserAttributes: primary WINS = cleared
2009-01-23 12:52:24    Local4.Debug    10.10.10.10    Jan 23 2009 12:47:18: %PIX-7-715019: Group = ciscovpn, Username = User_Name, IP = 85.173.0.0, IKEGetUserAttributes: secondary WINS = cleared
2009-01-23 12:52:24    Local4.Debug    10.10.10.10    Jan 23 2009 12:47:18: %PIX-7-715019: Group = ciscovpn, Username = User_Name, IP = 85.173.0.0, IKEGetUserAttributes: IP Compression = disabled
2009-01-23 12:52:24    Local4.Debug    10.10.10.10    Jan 23 2009 12:47:18: %PIX-7-715019: Group = ciscovpn, Username = User_Name, IP = 85.173.0.0, IKEGetUserAttributes: Split Tunneling Policy = Disabled
2009-01-23 12:52:24    Local4.Debug    10.10.10.10    Jan 23 2009 12:47:18: %PIX-7-715019: Group = ciscovpn, Username = User_Name, IP = 85.173.0.0, IKEGetUserAttributes: Browser Proxy Setting = no-modify
2009-01-23 12:52:24    Local4.Debug    10.10.10.10    Jan 23 2009 12:47:18: %PIX-7-715019: Group = ciscovpn, Username = User_Name, IP = 85.173.0.0, IKEGetUserAttributes: Browser Proxy Bypass Local = disable
2009-01-23 12:52:24    Local4.Debug    10.10.10.10    Jan 23 2009 12:47:18: %PIX-7-713052: Group = ciscovpn, Username = User_Name, IP = 85.173.0.0, User (User_Name) authenticated.

покажите весь конфиг.

>покажите весь конфиг.

!
PIX Version 7.2(4)
!
interface Ethernet0
nameif outside
security-level 0
ip address 62.183.109.14 255.255.255.252
ospf network point-to-point non-broadcast
!
interface Ethernet1
speed 100
duplex full
nameif inside
security-level 100
ip address 192.16.101.253 255.255.255.248 standby 192.16.101.252
!
boot system flash:/pix724.bin
ftp mode passive
dns server-group DefaultDNS
domain-name mycompany.ru
access-list nonat extended permit ip 10.10.16.0 255.255.255.0 any
access-list nonat extended permit ip any 10.10.16.0 255.255.255.0
access-list split extended permit ip any 10.10.16.0 255.255.255.0
access-list outside extended permit icmp any any
access-list outside extended permit ip 10.10.0.0 255.255.0.0 any
access-list forNAT extended permit icmp any any
pager lines 24
logging enable
logging timestamp
logging buffered alerts
logging trap debugging
logging history alerts
logging asdm informational
logging debug-trace
logging flash-bufferwrap
logging flash-minimum-free 1024
logging flash-maximum-allocation 512
mtu outside 1500
mtu inside 1500
ip local pool VPNPOOL 10.10.16.1-10.10.16.254 mask 255.255.255.0
ip verify reverse-path interface outside
failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
icmp permit any inside
asdm image flash:/asdm-524.bin
asdm history enable
arp timeout 600
nat-control
global (outside) 101 62.183.109.100-62.183.109.110
global (outside) 101 interface
nat (inside) 0 access-list nonat
nat (inside) 101 access-list forNAT
access-group outside in interface outside
route outside 0.0.0.0 0.0.0.0 62.183.109.13 1
route inside 10.0.0.0 255.0.0.0 192.16.101.254 1
route inside 192.168.0.0 255.255.0.0 192.16.101.254 1
!
router ospf XXXXXXXXXXXX
router-id 62.183.109.14
log-adj-changes
redistribute connected subnets
redistribute static subnets
!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 10.10.2.45 255.255.255.255 inside
snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set vpn esp-des esp-md5-hmac
crypto dynamic-map vpn 10 set transform-set vpn
crypto map vpn 10 ipsec-isakmp dynamic vpn
crypto map vpn interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet 10.10.2.45 255.255.0.0 inside
telnet timeout 5
ssh 10.10.2.45 255.255.255.255 inside
ssh timeout 5
ssh version 1
console timeout 5
group-policy ciscovpn internal
group-policy ciscovpn attributes
dns-server value 10.10.1.14
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
split-dns value 10.10.1.14
msie-proxy server value 10.10.1.144:8080
username admintest password -------------- encrypted privilege 15
tunnel-group ciscovpn type ipsec-ra
tunnel-group ciscovpn general-attributes
address-pool VPNPOOL
tunnel-group ciscovpn ipsec-attributes
pre-shared-key ----------------
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns MY_DNS_INSPECT_MAP
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect ftp
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect dns MY_DNS_INSPECT_MAP
  inspect icmp
  inspect pptp
  inspect h323 h225
  inspect h323 ras
policy-map type inspect dns migrated_dns_map_1
parameters
  message-length maximum 512
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:35aac3bf4db320a7dac70c551a7fd4b1
: end

1.
в туннель-группе не видна явная привязка group-policy к тунелльной группе.
group-policy TO attributes
...
...
tunnel-group Test general-attributes
default-group-policy TO
...

2. внешний список доступа урезали? если да то проверьте что ото всех к вам разрешен трафик udp 500 4500 esp

>[оверквотинг удален]
>в туннель-группе не видна явная привязка group-policy к тунелльной группе.
>group-policy TO attributes
>...
>...
>tunnel-group Test general-attributes
> default-group-policy TO
>...
>
>2. внешний список доступа урезали? если да то проверьте что ото всех
>к вам разрешен трафик udp 500 4500 esp

1. как это не видная явная привязка group-policy к тунелльной группе
а как же:
group-policy ciscovpn internal
group-policy ciscovpn attributes
dns-server value 10.10.1.14
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
split-dns value 10.10.1.14
msie-proxy server value 10.10.1.144:8080

2. т.е. я с outside должен всем разрешить udp 500
access-list outside extended permit udp any any eq isakmp
access-list outside extended permit esp any any

так?

>[оверквотинг удален]
>
>1. как это не видная явная привязка group-policy к тунелльной группе
>а как же:
>group-policy ciscovpn internal
>group-policy ciscovpn attributes
>dns-server value 10.10.1.14
>split-tunnel-policy tunnelspecified
>split-tunnel-network-list value split
>split-dns value 10.10.1.14
>msie-proxy server value 10.10.1.144:8080

И?
Если вы в tunnel-group не укажете какую group-policy нужно использовать то будет использована по умолчанию полиси - DfltGrpPolicy. Я имел в виду не сплит-тунель.

Step 7 Optionally, specify the name of the default group policy. The default value is DfltGrpPolicy:

hostname(config-tunnel-general)# default-group-policy policyname

hostname(config-tunnel-general)#
http://www.cisco.com/en/US/docs/security/asa/asa80/configura...

tunnel-group ciscovpn general-attributes
default-group-policy  ciscovpn

>2. т.е. я с outside должен всем разрешить udp 500
>access-list outside extended permit udp any any eq isakmp
>access-list outside extended permit esp any any
>
>так?

не, чегото попутал с маршрутизатором. в данной ситуации вам это не нужно.

Вот фрагмент конфига:

access-list nonat extended permit ip 10.10.16.0 255.255.255.0 any
access-list nonat extended permit ip any 10.10.16.0 255.255.255.0
access-list split extended permit ip any 10.10.16.0 255.255.255.0
access-list outside extended permit icmp any any
access-list outside extended permit ip 10.10.0.0 255.255.0.0 any

ip local pool vpnutk 10.10.16.1-10.10.16.254 mask 255.255.255.0
ip verify reverse-path interface outside

nat-control
nat (inside) 0 access-list nonat

crypto ipsec transform-set vpn esp-des esp-md5-hmac
crypto dynamic-map vpn 10 set transform-set vpn
crypto map vpn 10 ipsec-isakmp dynamic vpn
crypto map vpn interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400

group-policy ciscovpn internal
group-policy VPNPOOL attributes
dns-server value 10.10.1.14
split-tunnel-network-list value split
split-dns value 10.10.1.14

tunnel-group VPNPOOL type ipsec-ra
tunnel-group VPNPOOL general-attributes
address-pool vpnutk
default-group-policy VPNPOOL
tunnel-group VPNPOOL ipsec-attributes
pre-shared-key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Проблема с ДНС решилась...
ДНС присваивается...

При данной конфигурации вижу внутр.сеть, но не могу попасть в Инет...
Инет идет через прокси ISA Server. Возможно что-то надо добипасть на ISA?

При команде ping ya.ru
Определяется IP-адрес, а дальше... Превышен интервал ожидания ....

>Вот фрагмент конфига:
>
>access-list nonat extended permit ip 10.10.16.0 255.255.255.0 any
>access-list nonat extended permit ip any 10.10.16.0 255.255.255.0
>access-list split extended permit ip any 10.10.16.0 255.255.255.0
>access-list outside extended permit icmp any any
>access-list outside extended permit ip 10.10.0.0 255.255.0.0 any

...
Может не нужно пускать все с 10й сети на внешнем интерфейсе? Ну так из
>Проблема с ДНС решилась...
>ДНС присваивается...
>
>При данной конфигурации вижу внутр.сеть, но не могу попасть в Инет...
>Инет идет через прокси ISA Server. Возможно что-то надо добипасть на ISA?
>
>
>При команде ping ya.ru
>Определяется IP-адрес, а дальше... Превышен интервал ожидания ....

ну тут уж нужно смотреть и на ису и на маршруты в сети.
Циска я думаю тут не причем.
посмотрите еще коран, может поможет.
http://www.cisco.com/en/US/products/ps6120/products_configur...

>[оверквотинг удален]
>в туннель-группе не видна явная привязка group-policy к тунелльной группе.
>group-policy TO attributes
>...
>...
>tunnel-group Test general-attributes
> default-group-policy TO
>...
>
>2. внешний список доступа урезали? если да то проверьте что ото всех
>к вам разрешен трафик udp 500 4500 esp

Если указываю
tunnel-group Test general-attributes
default-group-policy TO

Инет есть, но почему-то не через прокси....
но тогда пропадает внутренняя сеть 10.10.х.х. - пинги не ходят...
если убираю default-group-policy TO  внутреннюю сеть вижу, но нет Инета...

А ISA знает где искать 10.10.16.х?

>А ISA знает где искать 10.10.16.х?

Да, конечно!

Вы не поверите....

Оказывается все очень просто...
IE не поддерживает прокси при Cisco VPN... Надо работать, например через Mozilla Firefox
В IE в настройках подключения, где указывается прокси ....
в скобках написано (не принимается для удаленных или VPN подключений), т.е. сам IE не пропускает в Инет при VPN соединении....