ASA 5510 HELP!

[giankyfava]

Salve,

ho un asa 5510 con software v.7.0 che ha una vpn con un concentratore che mi assegna un indirizzo "virtuale". Devo far sì che alcuni indirizzi (a dire la verità intere subnet) non vengano raggiunti direttamente ma tramite vpn, presentandosi a questi con l'indirizzo "virtuale" assegnatomi dal concentratore. Come posso fare?
Premetto che se è possibile vorrei utilizzare la comoda interfaccia management. Grazie.

[Wizard]

Sinceramente non si capisce molto quello che chiedi...
Hai una vpn l2l ipsec tra un ASA e un VPN Concentrator?

[giankyfava]

Sinceramente non si capisce molto quello che chiedi...
Hai una vpn l2l ipsec tra un ASA e un VPN Concentrator?

Esatto. Chiedo scusa se mi sono espresso male...

[Wizard]

Pardon ma mi sfugge ancora il significato tecnico del indirizzo "virtuale"...

[giankyfava]

Pardon ma mi sfugge ancora il significato tecnico del indirizzo "virtuale"...

Diciamo piuttosto che si tratta di un indirizzo privato assegnatomi dal vpn concentrator...

[Wizard]

Allora ti connetti tramite Cisco vpn client?!

[giankyfava]

Allora ti connetti tramite Cisco vpn client?!

No faccio una vpn punto punto verso un indirizzo a.b.c.d a cui però mi devo presentare non con l'indirizzo con cui esco effettivamente ma con l'indirizzo che mi fornisce la regione toscana. Questa vpn mi serve perchè i miei client in lan devono reggiungere delle subnet che mi ha fornito per email (quindi a me riservato) la regione, NON direttamente attraverso internet, ma utilizzando il tunnel vpn. Tutto ciò per poter usufruire del servizio di visualizzazione delle visure camerali e catastali, diciamo una sorta di autenticazione.

[giankyfava]

... sono nella disperazione più totale... non so nemmeno come spiegare cosa devo NECESSARIAMENTE realizzare... vi prego di venirmi incontro... magari vi posto l'email di richiesta della regione toscana?

[Wizard]

A me sembra di aver capito che ti devi presentare con un ip\subnet diversa dalla tua reale quando ti connetti alla rete remota...

Corretto?

Se è così te la cavi con una regola di static e una acl (policy nat)

[giankyfava]

A me sembra di aver capito che ti devi presentare con un ip\subnet diversa dalla tua reale quando ti connetti alla rete remota...

Corretto?

Se è così te la cavi con una regola di static e una acl (policy nat)

Sì esatto (credo ).

Cmq ecco la conf richiesta:

"Indirizzo remoto con cui il nostro concentrator crea la vpn: xxx.xxx.xxx.xxx

Indirizzo con cui fare NAT assegnato a voi: xxx.yyy.zzz.aaa

Indirizzo nostro con cui fare vpn: xxx.yyy.bbb.ccc"

Crittografia e psk da usare ecc.

"Subnet ruotate:

iii.ggg.0.0/0.0.1.255
iii.ggg.3.0/0.0.0.255
iii.ggg.4.0/0.0.3.255
iii.ggg.8.0/0.0.7.255
fff.mmm.32.0/0.0.15.255
xxx.yyy.250.0/0.0.0.255
xxx.yyy.227.0/0.0.0.255"

Potresti dirmi in dettaglio come fare la static e la acl? Grazie di nuovo...

[Wizard]

Indirizzo con cui fare NAT assegnato a voi: xxx.yyy.zzz.aaa

In sostanza è questo quello che devi configurare?

[giankyfava]

Indirizzo con cui fare NAT assegnato a voi: xxx.yyy.zzz.aaa

In sostanza è questo quello che devi configurare?

Sì inoltre devo far sì che quando si chiama un indirizzo nelle subnet da ruotare specificate non si esca direttamente ma lo si faccia tramite tunnel vpn.

[Wizard]

Facci vedere la config attuale

[giankyfava]

Ecco la conf attuale:

Codice: Seleziona tutto

: Saved
:
ASA Version 7.0(7) 
!
hostname pippo	
domain-name pippo
enable password xxxxxxxxxxxxxxxx encrypted
names
dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address xxxxxxxxxxx 255.255.255.248 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 100.10.0.100 255.0.0.0 
!
interface Ethernet0/2
 nameif dmz
 security-level 0
 ip address 192.168.100.1 255.255.255.0 
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
 management-only
!
passwd xxxxxxxxxxxxxxxx encrypted
ftp mode passive
access-list 80 extended permit ip 100.0.0.0 255.0.0.0 192.168.10.0 255.255.255.0 
access-list 80 extended permit ip 100.0.0.0 255.0.0.0 192.168.20.0 255.255.255.0 
access-list 80 extended permit ip 100.10.0.0 255.255.255.0 100.10.0.0 255.255.255.0 
access-list 80 extended permit ip host rtrtrrtrttrt_nostro host rtrtrtrtrtrtt_loro
access-list 80 extended permit ip 100.0.0.0 255.0.0.0 host rtrtrtrtrtrtrt_loro
access-list 101 extended permit ip 192.168.1.0 255.255.255.0 100.10.0.0 255.255.255.0 
access-list OUTSIDE extended permit tcp host hhhhhhhh host xxxxxxx eq 3000 
access-list OUTSIDE extended permit tcp host kkkkkkkk host xxxxxxx eq 3000 
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
mtu dmz 1500
ip local pool VPNPOOL 100.10.0.150-100.10.0.151
asdm image disk0:/asdm-507.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list 80
nat (inside) 1 100.0.0.0 255.0.0.0
nat (dmz) 1 192.168.200.0 255.255.255.0
static (inside,outside) tcp interface 3000 100.20.0.250 ssh netmask 255.255.255.255 
access-group OUTSIDE in interface outside
route outside 0.0.0.0 0.0.0.0 zzzzzzzzzzzzzz 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username pippo password jjjjjjjjjjjjjjjjjjjjjj encrypted privilege 15
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set pippo_set esp-des esp-sha-hmac 
crypto ipsec transform-set rtrt esp-3des esp-sha-hmac 
crypto map barga 50 match address 80
crypto map barga 50 set peer xxxxxxxxxxxxx yyyyyyyyyyyyyyyy
crypto map barga 50 set transform-set pippo_set
crypto map barga 60 match address 80
crypto map barga 60 set peer rtrtrrtrtrrt 
crypto map barga 60 set transform-set rtrt
crypto map barga interface outside
isakmp identity address 
isakmp enable outside
isakmp enable dmz
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
tunnel-group xxxxxxxxxxxx type ipsec-l2l
tunnel-group xxxxxxxxxxxx ipsec-attributes
pre-shared-key *
tunnel-group yyyyyyyyyyyy type ipsec-l2l
tunnel-group yyyyyyyyyyyy ipsec-attributes
 pre-shared-key *
tunnel-group rtrtrtrtrtrt type ipsec-l2l
tunnel-group rtrtrtrtrtrt ipsec-attributes
 pre-shared-key *
telnet 100.10.0.0 255.255.255.0 inside
telnet timeout 5
ssh hhhhhhhhhhh 255.255.255.255 outside
ssh kkkkkkkkkkk 255.255.255.255 outside
ssh timeout 60
ssh version 2
console timeout 0
management-access inside
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
smtps
 port 25
 server mail.cs.interbusiness.it
 default-group-policy DfltGrpPolicy
client-update enable
Cryptochecksum:616a4ed0e05c4a68f007f5b2d1972bf0
: end

[Wizard]

Occorre sapere:

Rete tua dalla quale deve partire il traffico
Rete destinazione
Rete o IP di nat