Сообщения без ответов | Активные темы Текущее время: 22 апр 2024, 20:12



Ответить на тему  [ Сообщений: 3 ] 
Прошу небольшой помощи с AnyConnect 
Автор Сообщение

Зарегистрирован: 30 мар 2016, 13:52
Сообщения: 21
Доброго! Настраиваю в данный момент AnyConnect на ASA 5516. Почти всё удалось сделать, кроме NAT. Подключенные клиенты не видят внутреннюю сеть. По ТЗ, надо делать через split-tunneling, чтобы во внутреннюю сеть заворачивался только тот трафик который предназначен для нее, а не всё подряд. Подскажите, плз, что можно поправить чтобы это заработало.

no mac-address auto
ip local pool VPN 192.168.211.100-192.168.211.200 mask 255.255.255.0
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network NETWORK_OBJ_192.168.211.0_24
subnet 192.168.211.0 255.255.255.0
object network ASA_VPN
host 192.168.211.1
object network ASA_local
host 192.168.0.253
object network Local_network
subnet 192.168.0.0 255.255.255.0
object-group service DM_INLINE_SERVICE_1
service-object icmp
service-object tcp destination eq www
service-object tcp destination eq https
service-object tcp destination eq ssh
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object ip
protocol-object icmp
object-group service DM_INLINE_SERVICE_2
service-object icmp
service-object tcp destination eq lpd
object-group protocol DM_INLINE_PROTOCOL_2
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_3
protocol-object ip
protocol-object icmp
access-list management_access_in extended permit object-group DM_INLINE_SERVICE_1 any 172.18.221.0 255.255.255.128
access-list AnyConnect_Client_Local_Print extended permit object-group DM_INLINE_SERVICE_2 any4 any4
access-list AnyConnect_Client_Local_Print remark IPP: Internet Printing Protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 631
access-list AnyConnect_Client_Local_Print remark Windows' printing port
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 9100
access-list AnyConnect_Client_Local_Print remark mDNS: multicast DNS protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.251 eq 5353
access-list AnyConnect_Client_Local_Print remark LLMNR: Link Local Multicast Name Resolution protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.252 eq 5355
access-list AnyConnect_Client_Local_Print remark TCP/NetBIOS protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 137
access-list AnyConnect_Client_Local_Print extended permit udp any4 any4 eq netbios-ns
access-list AnyConnect_Client_Local_Print extended deny ip any4 any4
access-list global_access extended permit object-group DM_INLINE_PROTOCOL_1 object NETWORK_OBJ_192.168.211.0_24 any
access-list global_access extended permit object-group DM_INLINE_PROTOCOL_3 any object NETWORK_OBJ_192.168.211.0_24
access-list local_vpn standard permit 192.168.0.0 255.255.255.0
access-list local_vpn standard permit 192.168.211.0 255.255.255.0
access-list Local_access_in extended permit object-group DM_INLINE_PROTOCOL_2 object NETWORK_OBJ_192.168.211.0_24 any
pager lines 24
logging enable
logging asdm informational
mtu ISP1 1500
mtu ISP2 1500
mtu DMZ 1500
mtu Local 1500
mtu management 1500
no failover
no failover wait-disable
no monitor-interface service-module
icmp unreachable rate-limit 1 burst-size 1
icmp permit any Local
asdm image disk0:/asdm-7181-152.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
arp rate-limit 16384
nat (Local,ISP1) source static any any destination static NETWORK_OBJ_192.168.211.0_24 NETWORK_OBJ_192.168.211.0_24 no-proxy-arp
nat (ISP1,Local) source static NETWORK_OBJ_192.168.211.0_24 NETWORK_OBJ_192.168.211.0_24 no-proxy-arp route-lookup
!
nat (Local,ISP1) after-auto source dynamic any interface
access-group Local_access_in in interface Local
access-group management_access_in in interface management
access-group global_access global
route ISP1 0.0.0.0 0.0.0.0 95.96.97.98 1
route Local 172.18.221.0 255.255.255.128 192.168.0.103 1
route management 192.168.0.0 255.255.255.0 172.18.221.1 1

При попытке запустить пакет через Packet Tracer выдает такую ошибку (см вл.)


Вложения:
135449.jpg
135449.jpg [ 75.68 КБ | Просмотров: 7656 ]
12 окт 2023, 13:47
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Вы правы, надо использовать split tunnel. У меня реализовано так
!
object network ANYCONNECT-SUBNET
subnet 10.68.1.0 255.255.255.0
!
nat (inside,outside) source static any any destination static ANYCONNECT-SUBNET ANYCONNECT-SUBNET no-proxy-arp route-lookup


14 окт 2023, 08:14
Профиль

Зарегистрирован: 30 мар 2016, 13:52
Сообщения: 21
Maxische писал(а):
Вы правы, надо использовать split tunnel. У меня реализовано так
!
object network ANYCONNECT-SUBNET
subnet 10.68.1.0 255.255.255.0
!
nat (inside,outside) source static any any destination static ANYCONNECT-SUBNET ANYCONNECT-SUBNET no-proxy-arp route-lookup


Спасибо за отклик! Я тоже уже нашел ошибку, к этому времени


16 окт 2023, 01:47
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 3 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB