Buongiorno a tutti.
Devo connettere dei Roawarrior ad un ASA che fa da concentratore VPN.
Il Client VPN è installato su un PC in LAN di altra azienda, 192.168.1.0/24.
Questa azienda ha la LAN uguale alla LAN inside dell'ASA.
il Client chiude il tunnel, ma ovviamente non passa traffico. Il Client quando tenta di connettersi su rete remota, non ci va in quanto cerca l'host in rete locale.
Googolando ho visto configurazioni LAN2LAN con stessa subnet, (doppio NAT) ma non riesco a trovare suggerimenti roadwarrior2lan con stessa subnet.
Non posso modificare LAN rete remota, non posso isolare questo client dalla sua rete, e non mi piace la soluzione di modificare sul PC la metrica delle schede di rete.
Suggerimenti ? Credo bisognarà battagliare con il NAT-
Grazie in anticipo a tutti.
LAN Roarwarrior Cisco VPN in overlapping LAN ASA (Solved)
Moderatore: Federico.Lagni
-
elbuse
- n00b
- Messaggi: 2
- Iscritto il: lun 17 set , 2012 3:58 am
"Se vuoi una mano, guarda in fondo al tuo braccio"
Grazie a tutti eh !
Cmq sono impazzito con le nuove versioni 8.4 e nuove regole nat.
ho fatto downgrade a 8.22, con quella partito tutto in mezzora.
Ecco la configurazione corretta.
LAN inside di ASA 192.168.1.0/24
LAN di Cisco Client VPN 192.168.1.0/24 (overlapping !)
Pool IP assegnati a Cisco Client VPN 192.168.250.0/24
Range IP di comodo. 10.20.20.0/24
Il Client VPN Cisco dovrà puntare alla rete di comodo quando dovrà raggiungere la LAN di ASA.
Esempio fare telnet sul server di posta 192.168.1.100 porta 25 si deve scrivere telnet 10.20.20.100 25
Ciao a tutti.
ps. se qualcuno mi traduce la configurazione sottostante per 8.4 ... sarebbe bello.
Grazie.
------------------
CISCOASA# sh runn
: Saved
:
ASA Version 8.2(2)
!
hostname CISCOASA
names
name rrr.rrr.rrr.rrr ROUTER
name ooo.ooo.ooo.ooo ASA_OUTSIDE
name 192.168.1.254 ASA_INSIDE
!
interface Vlan1
nameif inside
security-level 100
ip address ASA_INSIDE 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address ASA_OUTSIDE 255.255.255.248
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
access-list TUNNEL_ROADWARRIOR_splitTunnelAcl standard permit 10.20.20.0 255.255.255.0
(traffico autorizzato nel tunnel VPN)
access-list inside_nat0_outbound extended permit ip 10.20.20.0 255.255.255.0 192.168.250.0 255.255.255.224
(non natto traffico che proviene da 10.20.20.0 verso 192.168.250.0. questo è il traffico di ritorno nattato.
Traffico che deve tornare verso gli IP dei Cisco VPN Client)
access-list nat-for-vpnclient extended permit ip 192.168.1.0 255.255.255.0 192.168.250.0 255.255.255.0
(access list che definisce cosa deve essere nattato sulla rete di comodo, ovvero ciò che proviene da 192.168.250.0 verso la 192.168.1.0 )
ip local pool Roadwarrior_Pool 192.168.250.1-192.168.250.20 mask 255.255.255.0
(dhcp per Cisco VPN Client)
global (outside) 1 interface
(applico la regola NAT in uscita, per navigare in internet)
nat (inside) 0 access-list inside_nat0_outbound
(applico la regola esclusione dal NAT come indicato nella ACL)
nat (inside) 1 192.168.1.0 255.255.255.0
(natto la rete verso Internet)
static (inside,outside) 10.20.20.0 access-list nat-for-vpnclient
(ecco la nat su per la rete di comodo)
route outside 0.0.0.0 0.0.0.0 ROUTER 1
(Route statica verso internet)
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
group-policy TUNNEL_ROADWARRIOR internal
group-policy TUNNEL_ROADWARRIOR attributes
dns-server value 10.20.20.3
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value TUNNEL_ROADWARRIOR_splitTunnelAcl
username cisco password cisco encrypted privilege 15
username test password cucu encrypted privilege 0
username test attributes
vpn-group-policy TUNNEL_ROADWARRIOR
tunnel-group TUNNEL_ROADWARRIOR type remote-access
tunnel-group TUNNEL_ROADWARRIOR general-attributes
address-pool Roadwarrior_Pool
default-group-policy TUNNEL_ROADWARRIOR
tunnel-group TUNNEL_ROADWARRIOR ipsec-attributes
pre-shared-key *****
Grazie a tutti eh !
Cmq sono impazzito con le nuove versioni 8.4 e nuove regole nat.
ho fatto downgrade a 8.22, con quella partito tutto in mezzora.
Ecco la configurazione corretta.
LAN inside di ASA 192.168.1.0/24
LAN di Cisco Client VPN 192.168.1.0/24 (overlapping !)
Pool IP assegnati a Cisco Client VPN 192.168.250.0/24
Range IP di comodo. 10.20.20.0/24
Il Client VPN Cisco dovrà puntare alla rete di comodo quando dovrà raggiungere la LAN di ASA.
Esempio fare telnet sul server di posta 192.168.1.100 porta 25 si deve scrivere telnet 10.20.20.100 25
Ciao a tutti.
ps. se qualcuno mi traduce la configurazione sottostante per 8.4 ... sarebbe bello.
Grazie.
------------------
CISCOASA# sh runn
: Saved
:
ASA Version 8.2(2)
!
hostname CISCOASA
names
name rrr.rrr.rrr.rrr ROUTER
name ooo.ooo.ooo.ooo ASA_OUTSIDE
name 192.168.1.254 ASA_INSIDE
!
interface Vlan1
nameif inside
security-level 100
ip address ASA_INSIDE 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address ASA_OUTSIDE 255.255.255.248
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
access-list TUNNEL_ROADWARRIOR_splitTunnelAcl standard permit 10.20.20.0 255.255.255.0
(traffico autorizzato nel tunnel VPN)
access-list inside_nat0_outbound extended permit ip 10.20.20.0 255.255.255.0 192.168.250.0 255.255.255.224
(non natto traffico che proviene da 10.20.20.0 verso 192.168.250.0. questo è il traffico di ritorno nattato.
Traffico che deve tornare verso gli IP dei Cisco VPN Client)
access-list nat-for-vpnclient extended permit ip 192.168.1.0 255.255.255.0 192.168.250.0 255.255.255.0
(access list che definisce cosa deve essere nattato sulla rete di comodo, ovvero ciò che proviene da 192.168.250.0 verso la 192.168.1.0 )
ip local pool Roadwarrior_Pool 192.168.250.1-192.168.250.20 mask 255.255.255.0
(dhcp per Cisco VPN Client)
global (outside) 1 interface
(applico la regola NAT in uscita, per navigare in internet)
nat (inside) 0 access-list inside_nat0_outbound
(applico la regola esclusione dal NAT come indicato nella ACL)
nat (inside) 1 192.168.1.0 255.255.255.0
(natto la rete verso Internet)
static (inside,outside) 10.20.20.0 access-list nat-for-vpnclient
(ecco la nat su per la rete di comodo)
route outside 0.0.0.0 0.0.0.0 ROUTER 1
(Route statica verso internet)
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
group-policy TUNNEL_ROADWARRIOR internal
group-policy TUNNEL_ROADWARRIOR attributes
dns-server value 10.20.20.3
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value TUNNEL_ROADWARRIOR_splitTunnelAcl
username cisco password cisco encrypted privilege 15
username test password cucu encrypted privilege 0
username test attributes
vpn-group-policy TUNNEL_ROADWARRIOR
tunnel-group TUNNEL_ROADWARRIOR type remote-access
tunnel-group TUNNEL_ROADWARRIOR general-attributes
address-pool Roadwarrior_Pool
default-group-policy TUNNEL_ROADWARRIOR
tunnel-group TUNNEL_ROADWARRIOR ipsec-attributes
pre-shared-key *****
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Grazie per aver condiviso la soluzione.elbuse ha scritto:"Se vuoi una mano, guarda in fondo al tuo braccio"
Grazie a tutti eh !
Cmq sono impazzito con le nuove versioni 8.4 e nuove regole nat.
ho fatto downgrade a 8.22, con quella partito tutto in mezzora.
Se nessuno ti ha risposto è perchè probabilmente nessuno aveva idea di come aiutarti se non dicendoti le solite cose "attiva il debug", "prova questo" o "prova quello" però senza nessuna idea specifica. Non credo sia stato per cattiveria o per discriminazione di alcun tipo.
Detto questo non c'è nulla da tradurre, devi semplicemente fare l'upgrade alla 8.4 e lui, quando parte la prima volta ti sputa errori per ogni cosa che non riconosce e il resto se lo traduce da solo. Per quanto mi riguarda è stato così.
L'unico problema è che se c'è qualcosa che non va dopo devi risolvertela tu velocemente perchè lui non fà nulla per riparare l'errore.
Per non fare danni se l'apparecchio è in produzione potresti usare GNS3 che già da qualce versione riesce a emulare anche gli asa. Tu hai gli ios, ha la conf, prova a fare una simulazione, così valuti quanto è distruttiva la cosa.
Rizio
Si vis pacem para bellum
