URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19311
[ Назад ]

Исходное сообщение
"нет выхода в интернет через ASA 5510"
Отправлено Алексей , 21-Июл-09 15:49

Уже несколько недель мучаюсь с CISCO ASA 5510, надеюсь кто-нибудь поможет.
Необходимо, чтобы пользователи выходили в интернет через Cisco VPN Client.
Провайдером выделен IP 172.18.124.98 ,ближайший маршрутизатор провайдера 172.18.124.99
Внутренняя локальная сеть 10.10.10.0
Конфиг на 5510
ASA Version 7.0(8)
!
hostname telros
domain-name company.lan
enable password BSHiAF86w0CRRUMb encrypted
passwd BSHiAF86w0CRRUMb encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 50
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
same-security-traffic permit intra-interface
pager lines 24
mtu outside 1500
mtu inside 1500
mtu management 1500
ip local pool vpnpool 10.0.0.1-10.0.0.254
no failover
monitor-interface outside
monitor-interface inside
monitor-interface management
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 172.18.124.99
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.18.124.99 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20
split-tunnel-policy tunnelall
webvpn
username admin password f3UhLvUj1QsXsuK7 encrypted
http server enable
http 192.168.1.0 255.255.255.0 management
http redirect outside 80
http redirect inside 80
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map rtpdynmap 20 set transform-set myset
crypto dynamic-map rtpdynmap 20 set security-association lifetime seconds 28800
crypto dynamic-map rtpdynmap 20 set security-association lifetime kilobytes 4608000
crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap
crypto map mymap interface inside
isakmp identity address
isakmp enable inside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
tunnel-group rtptacvpn type ipsec-ra
tunnel-group rtptacvpn general-attributes
address-pool vpnpool
default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
telnet 192.168.1.2 255.255.255.255 management
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
Cryptochecksum:52e4e3c7495f9d1285b92f82cb3ef47d
-----------------------------------------------------------
VPN : клиент-циско поднят, а выхода в интернет нет.

Содержание

нет выхода в интернет через ASA 5510,pavel2084, 17:30 , 21-Июл-09
нет выхода в интернет через ASA 5510,pavel2084, 12:39 , 22-Июл-09
- нет выхода в интернет через ASA 5510,alex_334, 12:44 , 24-Июл-09

Сообщения в этом обсуждении

"нет выхода в интернет через ASA 5510"
Отправлено pavel2084 , 21-Июл-09 17:30

>nat (inside) 1 0.0.0.0 0.0.0.0
Может стоит указать конкретно используемый пул 10.0.0.0/24?
P.S.: Обязательно стоит запустить пэкет трэйсер.

"нет выхода в интернет через ASA 5510"
Отправлено pavel2084 , 22-Июл-09 12:39

Добрался до стендовой асы, так же 5510, через cli настроил доступ для ASDM, дальше визардом настройки для cisco vpn client, затем настройка динамик нат. Все пашет, вот конфиг.
ASA1# sh run
: Saved
:
ASA Version 8.0(2)
!
hostname ASA1
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address dhcp
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
ip local pool vpn_pool 192.168.2.1-192.168.2.254 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 10.0.0.0 255.0.0.0 10.50.105.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no sysopt connection permit-vpn
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside
crypto isakmp enable inside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
group-policy tunnel_group_name internal
group-policy tunnel_group_name attributes
wins-server value 10.50.7.7 10.50.7.8
dns-server value 10.50.7.7 10.50.7.8
vpn-tunnel-protocol IPSec
default-domain value qwerty
username admin password f3UhLvUj1QsXsuK7 encrypted privilege 15
username vpn_user_1 password Y4nMZZuACzxSeIWH encrypted privilege 0
username vpn_user_1 attributes
vpn-group-policy tunnel_group_name
tunnel-group tunnel_group_name type remote-access
tunnel-group tunnel_group_name general-attributes
address-pool vpn_pool
default-group-policy tunnel_group_name
tunnel-group tunnel_group_name ipsec-attributes
pre-shared-key *
prompt hostname context
Cryptochecksum:d8202ed44397529e7ad3e5ed50368207
: end
P.S.: Обновите софт и асдм, 8 версия софта и 6 версия асдм должны идти на диске с асой.

"нет выхода в интернет через ASA 5510"
Отправлено alex_334 , 24-Июл-09 12:44

У меня вроде бы настройки теже самые..только у меня нет dhcp и не настроены
service-policy global_policy global
group-policy tunnel_group_name internal
group-policy tunnel_group_name attributes
wins-server value 10.50.7.7 10.50.7.8
dns-server value 10.50.7.7 10.50.7.8
может быть в этом дело!?сейчас попробую
P.S.:если можно поясните
route outside 10.0.0.0 255.0.0.0 10.50.105.1 1