Salve gente,
ho un ASA 5510 con 3 interfacce inside/dmz/outside.
La dmz è pubblica, mentre la outside collegata al router di accesso internet ha indirizzamento privato.
Avrei quindi intenzione di configurare una vpn remote access con endpoint l'interfaccia dmz pubblica (isakmp enable dmz)... ma pur avendo applicato le regole in entrata sulla outside, non riesco a implementarla.
Con le acl mi sono tenuto largo giusto per il test.
Idee/Suggerimenti ?
Grazie
isakmp enable dmz
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map dmz_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map dmz_dyn_map 20 set security-association lifetime seconds 28800
crypto dynamic-map dmz_dyn_map 20 set security-association lifetime kilobytes 4608000
crypto map dmz_map 65535 ipsec-isakmp dynamic dmz_dyn_map
crypto map dmz_map interface dmz
access-list outside_access_in extended permit ip any interface dmz log
access-list outside_access_in extended permit udp any interface dmz log
access-list outside_access_in extended permit tcp any interface dmz log
access-list vpn_splitTunnelAcl standard permit any
access-group outside_access_in in interface outside
group-policy vpn internal
group-policy vpn attributes
split-tunnel-network-list value vpn_splitTunnelAcl
username client attributes
vpn-group-policy vpn
tunnel-group vpn type ipsec-ra
tunnel-group vpn general-attributes
default-group-policy vpn
tunnel-group vpn ipsec-attributes
ASA Remote Access endpoint DMZ interface
Moderatore: Federico.Lagni
-
- Cisco power user
- Messaggi: 101
- Iscritto il: mer 25 ott , 2006 7:32 am
Mi sembra che manchi il pool e l'acl per il traffico permesso assegnata (vpn-filter) alla group policy
Dai valori che vedo (sono quelli standard) credo tu abbia implementato questo vpn remote con asdm ed il wizard.... mancano quindi alcuni parametri
Dai valori che vedo (sono quelli standard) credo tu abbia implementato questo vpn remote con asdm ed il wizard.... mancano quindi alcuni parametri
-
- n00b
- Messaggi: 7
- Iscritto il: dom 28 dic , 2008 10:49 am
Ciao thehawk,
in effetti la configurazione non era completa, mi sono dimenticato di includerla nel paste. Ho usato asdm, e per correttezza ricopio la configurazione completa per la parte vpn.
Ho provato anche ad inserire una acl 'permit ip any' sull'outside, ma silenzio assoluto sull'asa...
Vogli dire, potrebbe essere un problema di acl o non è possibile indicare l'interfaccia dmz con ednpoint vpn?
Sto cercando casi simili nella rete, ma quei pochi che ho trovato sembrano essere rimasti inrisolti...
Grazie
in effetti la configurazione non era completa, mi sono dimenticato di includerla nel paste. Ho usato asdm, e per correttezza ricopio la configurazione completa per la parte vpn.
Ho provato anche ad inserire una acl 'permit ip any' sull'outside, ma silenzio assoluto sull'asa...
Vogli dire, potrebbe essere un problema di acl o non è possibile indicare l'interfaccia dmz con ednpoint vpn?
Sto cercando casi simili nella rete, ma quei pochi che ho trovato sembrano essere rimasti inrisolti...
Grazie
Codice: Seleziona tutto
access-list vpn_splitTunnelAcl standard permit any
ip local pool remote 10.0.1.1-10.0.1.254 mask 255.255.255.0
group-policy vpn internal
group-policy vpn attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpn_splitTunnelAcl
webvpn
username client password XXX encrypted privilege 0
username client attributes
vpn-group-policy vpn
webvpn
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map dmz_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map dmz_dyn_map 20 set security-association lifetime seconds 28800
crypto dynamic-map dmz_dyn_map 20 set security-association lifetime kilobytes 4608000
crypto map dmz_map 65535 ipsec-isakmp dynamic dmz_dyn_map
crypto map dmz_map interface dmz
isakmp enable dmz
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
tunnel-group vpn type ipsec-ra
tunnel-group vpn general-attributes
address-pool remote
default-group-policy vpn
tunnel-group vpn ipsec-attributes
pre-shared-key *
netrix