Problema accesso risorse LAN attraverso VPN

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
coteaz
Cisco power user
Messaggi: 109
Iscritto il: ven 01 mag , 2009 11:59 am

Salve a tutti
ho un problema veramente strano. ieri mattina per qualche motivo il firewall non mi faceva collegare da remoto in VPN, ho un ASA5510. non funzionava il portale VPN SSL Clientless ecc. ho rivisto la configurazione e caricato d'accapo i bin. ho ripristinato le chiavi condivise ecc

dopo un po di lavoro, guardando una configurazioen di bk che avevo, sono riuscito a collegarmi in vpn. accedo in L2TP/IPSEC con chiave condivisa e autenticazione PAP e LDAP.

le stranezze oggi sono continuate, il portale VPN SSL Clientless mi funziona bene; quando mi collego in vpn mi viene dato il giusto ip del pool e mi autentico ma... non riesco ad accedere alle risorse di rete.

pensavo ad un problema di route, di nat o di regole, anche se non ho cambiato nulla dalla configurazione di default, ma non credo sia così.

il ping da remoto ad un server locale a volte va e a volte no :shock:

a volte c'è una risposta del primo pacchetto poi muoiono tutti. a volte continuo a pingare tutte le risorse locali, da remoto, per un tempo non definito (a volte 5 minuti, a volte mezzora) e in questo periodo funziona tutto, interno voip remoto, accesso alle cartelle condivise, dns ecc...

dovrei capire cosa c'è che non va per poter tornare a lavorare!

vi incollo la mia configurazione, mi servirebbe, gentilmente, un vostro parere anche su quali diagnosi posso effettuare perchè, davvero, non so più dove sbattere!

grazie

Codice: Seleziona tutto

: Saved
:
ASA Version 8.2(5)
!
hostname FIREWALLP01
domain-name MYDOMAIN.local
enable password **** encrypted
passwd **** encrypted
names
name 192.168.90.2 SERVERP02
name 192.168.90.3 SERVERP03
name 192.168.92.4 SERVERP04
name yy.xxx.zzz.91 Pubblica_HTTP
name yy.xxx.zzz.88 Pubblica_SIADSL-network
name yy.xxx.zzz.92 Pubblica_VOIP
name yy.xxx.zzz.89 ROUTERP01
name yy.xxx.zzz.90 Pubblica_FTP
name yy.110.215.235 SRVPIN1
!
interface Ethernet0/0
 nameif Pubblica_SIADSL
 security-level 0
 ip address yy.xxx.zzz.94 255.255.255.248
!
interface Ethernet0/1
 nameif LAN
 security-level 100
 ip address 192.168.90.254 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
 security-level 98
 ip address 192.168.92.254 255.255.255.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0
 management-only
!
boot system disk0:/asa825-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup Pubblica_SIADSL
dns domain-lookup LAN
dns domain-lookup DMZ
dns domain-lookup management
dns server-group DefaultDNS
 name-server SERVERP02
 domain-name MYDOMAIN.local
object-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp
object-group service rtp udp
 port-object range 9000 9049
 port-object eq 10000
access-list LAN_nat0_outbound extended permit ip any 192.168.90.0 255.255.255.0
access-list Pubblica_SIADSL_access_in extended permit tcp any host Pubblica_HTTP eq ssh
access-list Pubblica_SIADSL_access_in extended permit udp any host Pubblica_VOIP object-group rtp
access-list Pubblica_SIADSL_access_in extended permit object-group TCPUDP any host Pubblica_VOIP eq sip
access-list Pubblica_SIADSL_access_in extended permit tcp any host Pubblica_HTTP eq www
access-list Pubblica_SIADSL_access_in extended permit tcp host SRVPIN1 host Pubblica_FTP eq ftp inactive
pager lines 24
logging enable
logging asdm informational
mtu Pubblica_SIADSL 1500
mtu LAN 1500
mtu DMZ 1500
mtu management 1500
ip local pool VPN_pool_new 192.168.90.130-192.168.90.139 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-625-53.bin
no asdm history enable
arp timeout 14400
global (Pubblica_SIADSL) 1 interface
global (DMZ) 1 interface
nat (LAN) 0 access-list LAN_nat0_outbound
nat (LAN) 1 0.0.0.0 0.0.0.0
static (LAN,Pubblica_SIADSL) tcp Pubblica_FTP ftp SERVERP02 ftp netmask 255.255.255.255
static (DMZ,Pubblica_SIADSL) Pubblica_HTTP SERVERP04 netmask 255.255.255.255
static (LAN,Pubblica_SIADSL) Pubblica_VOIP SERVERP03 netmask 255.255.255.255
access-group Pubblica_SIADSL_access_in in interface Pubblica_SIADSL
route Pubblica_SIADSL 0.0.0.0 0.0.0.0 ROUTERP01 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
 webvpn
  url-list value Link
aaa-server SERVERP02 protocol ldap
aaa-server SERVERP02 (LAN) host SERVERP02
 ldap-base-dn DC=MYDOMAIN,DC=local
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn CN=Administrator,CN=Users,DC=MYDOMAIN,DC=local
 server-type microsoft
http server enable
http 192.168.1.0 255.255.255.0 management
http authentication-certificate management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set TRANS_ESP_3DES_SHA ESP-3DES-SHA
crypto map Pubblica_SIADSL_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map Pubblica_SIADSL_map interface Pubblica_SIADSL
crypto isakmp enable Pubblica_SIADSL
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
management-access management
dhcpd address 192.168.1.2-192.168.1.254 management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 193.204.114.232 source Pubblica_SIADSL prefer
ntp server 193.204.114.233 source Pubblica_SIADSL
webvpn
 enable Pubblica_SIADSL
 enable LAN
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
 dns-server value 192.168.90.2
 vpn-tunnel-protocol IPSec l2tp-ipsec
 default-domain value MYDOMAIN.local
username test password P4ttSyrm33SV8TYp encrypted
username test attributes
 service-type remote-access
tunnel-group DefaultRAGroup general-attributes
 address-pool VPN_pool_new
 authentication-server-group SERVERP02
 default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
 authentication pap
 no authentication chap
 no authentication ms-chap-v1
tunnel-group DefaultWEBVPNGroup general-attributes
 authentication-server-group SERVERP02
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect pptp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:aa32bd872149dafa27077a3b68dfa7a2
: end
coteaz
Cisco power user
Messaggi: 109
Iscritto il: ven 01 mag , 2009 11:59 am

se vi può essere utile, qui c'è un estratto del log filtrando solo l'ip del pc remoto
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Rispondi