Anyconnect Always On Vpn

For additional information, refer to the AnyConnect configuration guide.

Cisco Anyconnect Always On
Cisco Anyconnect Always On Vpn
Cisco Anyconnect Always On Vpn Android
Always On Vpn Client
Cisco Always On Vpn

Client Download

Some USC online services require access through on-campus USC Secure Wireless or a wired network connection. USC offers Virtual Private Networking (VPN) to provide secure remote access to these. Protection for All Devices. With Cisco AnyConnect, all devices a company provides its employees are covered. Be they Mac, Windows, Linux, Android, or even iOS, they can rest assured that business information on any desktop or handheld machine is secured and protected.

Unlike the ASA, the MX does not support web deploy or web launch, a feature that allows end users to access a web page on the AnyConnect server to download the AnyConnect client. With the MX, there are download links to the client software on the AnyConnect settings page on the dashboard, however, the download links are only available to the Meraki dashboard admin and not the end user. We do not recommend sharing the down link with users as the link expires after every five minutes of loading the AnyConnect settings page.

We recommend downloading the AnyConnect client directly from Cisco.com as there may be an updated version in the Cisco repository. Refer to the doc for the AnyConnect clientrelease notes. We also recommend using either Meraki Systems Manager, an equivalent MDM solution, or Active Directory to seamlessly push the AnyConnect software client to the end user's device.

AnyConnect requires a VPN client to be installed on a client device. The AnyConnect client for Windows, MacOS, and Linux are available on the Client Connection section of the AnyConnect configuration page on the dashboard and can be downloaded by a Meraki dashboard administrator. Please note, the download links on the Meraki dashboard expire after five minutes. The AnyConnect client for mobile devices can be downloaded via the respective mobile stores. You can also download other versions (must be version 4.8 or higher) of the AnyConnect client from Cisco.com if you have an existing AnyConnect license. AnyConnect web deploy is not supported on the MX at this time.

Installing the AnyConnect client

You only need the VPN box checked. Once the client has been installed on the device, open the AnyConnect application and specify the hostname or IP address of the MX (AnyConnect server) you need to connect to.

AnyConnect Profiles

An AnyConnect profile is a crucial piece for ensuring easy configuration of the AnyConnect client software, once installed. The MX does not support the use of custom hostnames for certificates (e.g. vpn.xyz.com). The MX only supports use of the Meraki DDNS hostname for auto-enrollment and use on the MX. With the Meraki DDNS hostname (e.g. mx450-xyuhsygsvge.dynamic-m.com) not as simply as a custom hostname, the need for AnyConnect profiles cannot be overemphasized. Profiles can be used to create hostname aliases, thereby masking the Meraki DDNS with a friendly name for the end user.

Cisco AnyConnect client features are enabled in AnyConnect profiles. These profiles can contain configuration settings like server list, backup server list, authentication time out, etc., for client VPN functionality, in addition to other optional client modules like Network Access Manager, ISE posture, customer experience feedback, and web security. It is important to note that at this time, the Meraki MX does not support other optional client modules that require AnyConnect head-end support. For more details, see AnyConnect profiles.

Cisco anyconnect always on vpn windows 10

When a profile is created, it needs to get pushed to the end user's device. There are three ways to do this.

1. Through the AnyConnect server (MX): If profiles are configured on the dashboard, the MX will push the configured profile to the user's device after successful authentication.
2. Through an MDM solution: Systems Manager, an equivalent MDM solution, or Active Directory can be used push files to specific destinations on the end user's device. Profiles can also be pushed to the following paths:

Windows
%ProgramData%CiscoCisco AnyConnect Secure Mobility ClientProfile

Mac OS X
/opt/cisco/anyconnect/profile

Linux
/opt/cisco/anyconnect/profile

Cisco Anyconnect Always On

3. Manually: Profiles can also be preloaded manually to the same paths as listed above.

Cisco Anyconnect Always On Vpn

How to Create a Profile

Profiles can be created using the AnyConnect profile editor. The profile editor can be downloaded from the AnyConnect Settings page on dashboard or on cisco.com. Refer to this link for more details on AnyConnect profiles.

Using the profile editor: The profile editor can be downloaded from the AnyConnect Settings page on dashboard or on Cisco.com. The profile editor only runs on Windows operating systems. The screenshot below shows a configured server ton the Server List Entry option.

Cisco Anyconnect Always On Vpn Android

When configuration is complete, save the profile. It is recommended to use a unique file name to avoid profile overrides by other AnyConnect servers, then you can upload the file to the profile update section on the AnyConnect settings page.

Always On Vpn Client

Please note that only VPN profiles are supported on the MX at this time. This means you cannot push NVM, NAM, or Umbrella profiles via the MX.

Select enable profiles, upload your xml file, and save your configuration
After a user successfully authenticates, the configured profile gets pushed to the user's device automatically
The result of the .xml can be seen below, after successful authentication to the AnyConnect server; this gives users the ease of selecting VPN servers on the AnyConnect client
The Meraki DDNS hostname is not easy to remember, therefore end users are not expected to use it directly. Profiles should be used to make connecting to the AnyConnect server easy for end users.

Cisco Always On Vpn

Home • Регистрация • FAQ • Поиск • Вход

Сообщения без ответов | Активные темы

Текущее время: 23 апр 2021, 04:08

Проблемы с Anyconnect VPN client (как включить интернет)

Модератор: Fedia

Страница 1 из 1

[ Сообщений: 21 ]

Версия для печати

Пред. тема | След. тема

Проблемы с Anyconnect VPN client (как включить интернет)

Автор	Сообщение
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	Добрый день ! Между 'сетью офис' и 'сетью склад' поднят VPN site-2-site с эти проблем нет. Далее исходные данные: внутренняя сеть 'офис'- 192.168.1.0/255.255.255.0 внутренняя сеть 'склад'- 192.168.12.0/255.255.255.0 сеть для клиентов VPN - 192.168.2.0/255.255.255.0 Нет доступа к локальным ресурсам сети и интернет, при подключении к корпоративной сети по средствам Anyconnect VPN client. У меня из дома (так скажем) подключается Anyconnect через SSL VPN, но трафик у меня ходит только в Корпоративную сеть 'офис' в 'склад' уже не идут. При этом запросы пинг принимаются только по IP. DNS не срабатывает. Настройки адаптера anyconnect: _________________________________ Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : host1 Основной DNS-суффикс . . . . . . : HOME Тип узла. . . . . . . . . . . . . : Гибридный IP-маршрутизация включена . . . . : Нет WINS-прокси включен . . . . . . . : Нет Порядок просмотра суффиксов DNS . : HOME Ethernet adapter Подключение по локальной сети 3: DNS-суффикс подключения . . . . . : HOME Описание. . . . . . . . . . . . . : Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64 Физический адрес. . . . . . . . . : 00-05-9A-3C-7A-00 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да Локальный IPv6-адрес канала . . . : fe80::4354:2709:cb82:318e%19(Основной) Локальный IPv6-адрес канала . . . : fe80::69fc:a221:faf0:2bb7%19(Основной) IPv4-адрес. . . . . . . . . . . . : 192.168.2.100(Основной) Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : ::192.168.2.1 DNS-серверы. . . . . . . . . . . : 192.168.1.248 NetBios через TCP/IP. . . . . . . . : Включен __________________________________ Сетевой адаптер (локальный) в подсети 10.10.10.024 (все порты на выход открыты) __________________________________ Что касается Cisco 5505 'офис': исключения: nat (inside,outside) source static lan-my_company-net lan-my_company-net destination static lan-net-vpnClients lan-net-vpnClients no-proxy-arp route-lookup access-list split-tunnel standard permit 192.168.1.0 255.255.255.0 webvpn enable outside anyconnect-essentials anyconnect image disk0:/anyconnect-win-4.1.06020-k9.pkg 1 anyconnect enable tunnel-group-list enable group-policy GroupPolicy_my_companyVPN internal group-policy GroupPolicy_my_companyVPN attributes dns-server value 192.168.1.248 vpn-tunnel-protocol ssl-client split-tunnel-policy excludespecified split-tunnel-network-list value split-tunnel default-domain value my_company.local tunnel-group my_companyVPN type remote-access tunnel-group my_companyVPN general-attributes address-pool (inside) SSL_VPN_User_POOL address-pool SSL_VPN_User_POOL default-group-policy GroupPolicy_my_companyVPN tunnel-group my_companyVPN webvpn-attributes group-alias my_companyVPN enable получается что весь трафик у меня заворачивает в VPN канал... как врубить инет и обеспечить доступность локальной сети при подключенном SSL VPN к офису ? У меня на адаптере anyconnect шлюз 192.168.2.1 - что это за шлюз такой получается ? и появляется правило постоянного маршрута: IPv4 таблица маршрута Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.101 10 0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.100 2 10.10.10.4 255.255.255.255 On-link 10.10.10.101 11 10.10.10.101 255.255.255.255 On-link 10.10.10.101 266 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.2.0 255.255.255.0 On-link 192.168.2.100 257 192.168.2.100 255.255.255.255 On-link 192.168.2.100 257 192.168.2.255 255.255.255.255 On-link 192.168.2.100 257 213.167.46.226 255.255.255.255 10.10.10.1 10.10.10.101 11 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 10.10.10.101 266 224.0.0.0 240.0.0.0 On-link 192.168.2.100 257 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 10.10.10.101 266 255.255.255.255 255.255.255.255 On-link 192.168.2.100 257 Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 0.0.0.0 0.0.0.0 192.168.2.1 1 Как же с таким маршрутом трафик будет нормально ходить ? Как это лечить ?
23 окт 2015, 17:00
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	Переделал все вот по этому мануалу: http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/119006-configure-anyconnect-00.html Получаю роут принт: IPv4 таблица маршрута Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.101 10 0.0.0.0 0.0.0.0 192.168.11.1 192.168.11.100 2 10.10.10.4 255.255.255.255 On-link 10.10.10.101 11 10.10.10.101 255.255.255.255 On-link 10.10.10.101 266 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.11.0 255.255.255.0 On-link 192.168.11.100 257 192.168.11.100 255.255.255.255 On-link 192.168.11.100 257 192.168.11.255 255.255.255.255 On-link 192.168.11.100 257 213.167.46.226 255.255.255.255 10.10.10.1 10.10.10.101 11 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 10.10.10.101 266 224.0.0.0 240.0.0.0 On-link 192.168.11.100 10000 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 10.10.10.101 266 255.255.255.255 255.255.255.255 On-link 192.168.11.100 10000 Постоянные маршруты: Отсутствует Постоянный маршрутов нет, но как и прежде пропадает интернет и не доступны локальные ресурсы моей сети. Корпоративную сеть вижу, но только тот лан, к шлюзу которого подключаюсь. Обмен пакетами с ya.ru [213.180.193.3] с 32 байтами данных: Превышен интервал ожидания для запроса. Статистика Ping для 213.180.193.3: Пакетов: отправлено = 1, получено = 0, потеряно = 1 (100% потерь) Control-C ^C C:Usersgv>ping 10.10.10.4 Обмен пакетами с 10.10.10.4 по с 32 байтами данных: Общий сбой. Общий сбой. Общий сбой. Статистика Ping для 10.10.10.4: Пакетов: отправлено = 3, получено = 0, потеряно = 3 (100% потерь) Control-C ^C C:Usersgv>ping 192.168.1.200 Обмен пакетами с 192.168.1.200 по с 32 байтами данных: Ответ от 192.168.1.200: число байт=32 время=6мс TTL=64 Ответ от 192.168.1.200: число байт=32 время=5мс TTL=64 Ответ от 192.168.1.200: число байт=32 время=7мс TTL=64 Статистика Ping для 192.168.1.200: Пакетов: отправлено = 3, получено = 3, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 5мсек, Максимальное = 7 мсек, Среднее = 6 мсек Control-C ^C C:Usersgv>ping 192.168.1.248 Обмен пакетами с 192.168.1.248 по с 32 байтами данных: Ответ от 192.168.1.248: число байт=32 время=6мс TTL=128 Ответ от 192.168.1.248: число байт=32 время=6мс TTL=128 Ответ от 192.168.1.248: число байт=32 время=6мс TTL=128 Статистика Ping для 192.168.1.248: Пакетов: отправлено = 3, получено = 3, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 6мсек, Максимальное = 6 мсек, Среднее = 6 мсек Control-C ^C C:Usersgv>ping 192.168.1.1 Обмен пакетами с 192.168.1.1 по с 32 байтами данных: Ответ от 192.168.1.1: число байт=32 время=7мс TTL=64 Ответ от 192.168.1.1: число байт=32 время=6мс TTL=64 Ответ от 192.168.1.1: число байт=32 время=6мс TTL=64 Статистика Ping для 192.168.1.1: Пакетов: отправлено = 3, получено = 3, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 6мсек, Максимальное = 7 мсек, Среднее = 6 мсек
23 окт 2015, 17:58
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1877	получается что весь трафик у меня заворачивает в VPN канал... как врубить инет и обеспечить доступность локальной сети при подключенном SSL VPN к офису ? Интернет - добавить адреса SSL_VPN_User_POOL в динамическую трансляцию. Обеспечить доступность локальной сети при подключенном SSL VPN к офису - прописать эту локальную сеть в исключения.
23 окт 2015, 18:40
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1491	Тоже пытаюсь разобраться как anyconnect заставить ходить через l2l, вот тут почитайте http://www.cisco.com/c/en/us/td/docs/se ... Id-1285965
23 окт 2015, 19:06
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	приехал домой: подключил все тоже самое... работает интернет и сеть подключена. вот роут принт: IPv4 таблица маршрута Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.67 10 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.1.0 255.255.255.0 192.168.11.1 192.168.11.100 2 192.168.1.1 255.255.255.255 On-link 192.168.1.67 11 192.168.1.67 255.255.255.255 On-link 192.168.1.67 266 192.168.1.248 255.255.255.255 192.168.11.1 192.168.11.100 2 192.168.11.0 255.255.255.0 On-link 192.168.11.100 257 192.168.11.100 255.255.255.255 On-link 192.168.11.100 257 192.168.11.255 255.255.255.255 On-link 192.168.11.100 257 213.167.46.226 255.255.255.255 192.168.1.1 192.168.1.67 11 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.1.67 266 224.0.0.0 240.0.0.0 On-link 192.168.11.100 10000 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.1.67 266 255.255.255.255 255.255.255.255 On-link 192.168.11.100 10000 Постоянные маршруты: Отсутствует Но у меня дома подсеть получается 192.168.1.024 стандарт
23 окт 2015, 19:46
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	изменил домашнюю подсеть на 192.168.15.024 все работает. при подключенном VPN клиенте. C:Usersgv>ping 192.168.1.200 Обмен пакетами с 192.168.1.200 по с 32 байтами данных: Ответ от 192.168.1.200: число байт=32 время=5мс TTL=64 Ответ от 192.168.1.200: число байт=32 время=5мс TTL=64 Ответ от 192.168.1.200: число байт=32 время=9мс TTL=64 Ответ от 192.168.1.200: число байт=32 время=8мс TTL=64 Статистика Ping для 192.168.1.200: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 5мсек, Максимальное = 9 мсек, Среднее = 6 мсек C:Usersgv>ping ya.ru Обмен пакетами с ya.ru [213.180.204.3] с 32 байтами данных: Ответ от 213.180.204.3: число байт=32 время=5мс TTL=55 Ответ от 213.180.204.3: число байт=32 время=4мс TTL=55 Ответ от 213.180.204.3: число байт=32 время=5мс TTL=55 Ответ от 213.180.204.3: число байт=32 время=4мс TTL=55 Статистика Ping для 213.180.204.3: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 4мсек, Максимальное = 5 мсек, Среднее = 4 мсек
23 окт 2015, 19:51
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	получается что весь трафик у меня заворачивает в VPN канал... как врубить инет и обеспечить доступность локальной сети при подключенном SSL VPN к офису ? Интернет - добавить адреса SSL_VPN_User_POOL в динамическую трансляцию. Обеспечить доступность локальной сети при подключенном SSL VPN к офису - прописать эту локальную сеть в исключения. 1. Дело видимо не в этом... у меня есть split-tunnel он должен был прописать правильный роут - 192.168.1.0 255.255.255.0 192.168.11.1 192.168.11.100 2 192.168.1.248 255.255.255.255 192.168.11.1 192.168.11.100 2 192.168.11.0 255.255.255.0 On-link 192.168.11.100 257 но он этого не сделал... 2. Николай не пойму что имеете ввиду ? я про исключения... где ?
23 окт 2015, 19:54
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1877	1. Покажите конфиг. 2. Скажите, что вы хотите получить - что бы весь трафик заворачивался в туннель и весь трафик ходил только через ASA или только трафик к сети, которая находится за ASA, а интернет трафик ходил через локального провайдера.
24 окт 2015, 11:34
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	1. Покажите конфиг. 2. Скажите, что вы хотите получить - что бы весь трафик заворачивался в туннель и весь трафик ходил только через ASA или только трафик к сети, которая находится за ASA, а интернет трафик ходил через локального провайдера. Сорри что не отвечал... выходные так сказать )) Что я хочу получить: 1.чтобы только трафик направленный в подсети 192.168.1.024 и 192.168.12.024 шел в туннель (это удалось, но подсеть 192.168.12.024 не пингуется) 2.чтобы у меня работал нормально DNS в подсетях 192.168.1.024 и 192.168.12.024 (с самим DNS проблем нет, есть ли ошибка в конфе по этому поводу ?) 3.интернет от локального провайдера (это удалось) вот конфа, сори за мусор в ней: Result of the command: 'sh run' : Saved : ASA Version 8.4(5) ! hostname ciscoasa enable password /9dXnzQTdW1E0thS encrypted passwd 2KFQnbNIdI.2KYOU encrypted names name 192.168.1.0 lan_net_office name 192.168.12.0 lan_net_sklad name 192.168.0.0 lan-mycompany-net description all mycompany network name 77.77.77.77 wan_sklad name 88.88.88.88 wan_office name 99.99.99.99 wan_office2 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.1.254 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address wan_office 255.255.255.248 ! ftp mode passive dns domain-lookup inside dns domain-lookup outside dns server-group DefaultDNS name-server 192.168.1.248 same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network lan-net-office subnet 192.168.1.0 255.255.255.0 object network lan-net-sklad subnet 192.168.12.0 255.255.255.0 object network lan-mycompany-net subnet 192.168.0.0 255.255.0.0 object network wan_office host 88.88.88.88 description wan ip office object network obj_any subnet 0.0.0.0 0.0.0.0 object network obj-0.0.0.0 host 0.0.0.0 object network DC2 object network dc1 host 192.168.1.248 description Domain controller object network sip_udp host 192.168.1.200 description SIP udp object network sip_tcp host 192.168.1.200 description SIP tcp object service rdp service tcp source eq 3389 destination eq 3389 description Remote Desktop object network wan_sklad host 77.77.77.77 description wan ip sklad object network sql-laba host 192.168.1.7 description SQL server object network ts-elba host 192.168.1.241 description Terminal server object service 5060-5061_tcp service tcp source range sip 5061 object service 5060-5061_udp service udp source range sip 5061 object network SIPprovider host 95.167.15.100 description ip adress SIP provider object network SIPprovider_new host 91.218.111.145 description ip adress SIP provider object network FAX host 192.168.1.242 object service 6061-6062_tcp service tcp source range 6061 6062 object network NETWORK_OBJ_192.168.1.0_24 subnet 192.168.1.0 255.255.255.0 object network NETWORK_OBJ_192.168.11.0_24 subnet 192.168.11.0 255.255.255.0 object-group network admins network-object host 1.1.1.1 network-object host 2.2.2.2 network-object host 3.3.3.3 object-group service DM_INLINE_SERVICE_1 service-object ip service-object icmp object-group service DM_INLINE_SERVICE_2 service-object ip service-object icmp service-object tcp destination eq www service-object tcp destination eq https service-object tcp destination eq ssh service-object tcp destination eq telnet object-group network DM_INLINE_NETWORK_1 group-object admins network-object object wan_sklad object-group service DM_INLINE_SERVICE_3 service-object tcp destination eq ftp service-object tcp destination eq ftp-data service-object tcp destination eq 135 service-object tcp destination eq 137 service-object tcp destination eq 1433 service-object tcp destination eq 42 service-object tcp destination eq 445 service-object tcp destination eq 5051 service-object tcp destination eq 5151 service-object tcp destination eq 88 service-object tcp destination eq ldap service-object tcp destination eq ldaps service-object tcp destination eq netbios-ssn service-object tcp destination eq pptp service-object tcp destination eq sqlnet service-object udp destination eq 88 service-object udp destination eq bootpc service-object udp destination eq bootps service-object udp destination eq domain service-object udp destination eq isakmp service-object tcp destination eq smtp service-object tcp destination eq imap4 service-object tcp destination eq pop3 service-object tcp destination eq www service-object tcp destination eq https object-group network DM_INLINE_NETWORK_2 network-object host 192.168.12.200 network-object object SIPprovider object-group network DM_INLINE_NETWORK_3 network-object object lan-mycompany-net network-object object lan-net-office object-group network DM_INLINE_NETWORK_4 network-object object lan-mycompany-net network-object object lan-net-sklad access-list acl_inside extended permit icmp any any access-list acl_inside extended permit ip object-group DM_INLINE_NETWORK_3 object-group DM_INLINE_NETWORK_4 access-list acl_inside remark allow to outside access-list acl_inside extended permit object-group DM_INLINE_SERVICE_3 object lan-net-office any access-list acl_inside remark SIP to any access-list acl_inside extended permit ip host 192.168.1.200 any access-list acl_inside extended permit ip object FAX any access-list acl_inside extended permit ip any any access-list acl_outside extended permit icmp any any access-list acl_outside extended permit ip object-group DM_INLINE_NETWORK_1 any access-list acl_outside extended permit ip object-group DM_INLINE_NETWORK_2 host 192.168.1.200 access-list acl_outside remark rdp to dc1 access-list acl_outside extended permit tcp any object dc1 eq 3389 access-list acl_outside remark rdp to Terminal server access-list acl_outside extended permit tcp any object ts-elba eq 3389 access-list acl_outside remark rdp to SQL server access-list acl_outside extended permit tcp any object sql-laba eq 3389 access-list acl_outside remark rdp to FAX access-list acl_outside extended permit tcp any object FAX eq 3389 access-list acl_outside remark sip connection from SIPprovider access-list acl_outside extended permit tcp object SIPprovider object sip_tcp eq sip access-list acl_outside remark sip connection from SIPprovider access-list acl_outside extended permit udp object SIPprovider object sip_udp eq sip access-list acl_outside remark sip connection from SIPprovider access-list acl_outside extended permit object 5060-5061_tcp object SIPprovider object sip_tcp access-list acl_outside remark sip connection from SIPprovider access-list acl_outside extended permit object 5060-5061_udp object SIPprovider object sip_udp access-list acl_outside extended deny ip any any access-list acl_outside remark rdp to ctar-main-fs access-list acl_outside remark test repository access-list acl_outside remark test repository access-list acl_outside remark test repository access-list acl_outside remark test repository access-list acl_outside remark test repository access-list acl_outside remark test repository access-list cryptomap_of_sklad extended permit ip object lan-mycompany-net object lan-mycompany-net access-list outside_access_in extended permit object-group DM_INLINE_SERVICE_2 object-group admins any access-list Split-ACL standard permit 192.168.1.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 ip local pool SSL-Pool 192.168.11.100-192.168.11.150 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 icmp permit any inside icmp permit any outside no asdm history enable arp timeout 14400 no arp permit-nonconnected nat (inside,outside) source dynamic sip_tcp interface service 5060-5061_tcp 5060-5061_tcp nat (inside,outside) source dynamic sip_udp interface service 5060-5061_udp 5060-5061_udp nat (inside,outside) source static lan-net-office lan-net-office destination static lan-net-sklad lan-net-sklad no-proxy-arp route-lookup nat (inside,outside) source static NETWORK_OBJ_192.168.1.0_24 NETWORK_OBJ_192.168.1.0_24 destination static NETWORK_OBJ_192.168.11.0_24 NETWORK_OBJ_192.168.11.0_24 no-proxy-arp route-lookup ! object network obj_any nat (inside,outside) dynamic interface object network dc1 nat (inside,outside) static interface service tcp 3389 58001 object network sip_udp nat (inside,outside) static interface service udp sip sip object network sip_tcp nat (inside,outside) static interface service tcp sip sip object network sql-laba nat (inside,outside) static interface service tcp 3389 58002 object network ts-elba nat (inside,outside) static interface service tcp 3389 33333 object network FAX nat (inside,outside) static interface service tcp 3389 58003 access-group acl_inside in interface inside access-group outside_access_in in interface outside control-plane access-group acl_outside in interface outside route outside 0.0.0.0 0.0.0.0 213.167.46.225 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL aaa authentication enable console LOCAL aaa local authentication attempts max-fail 16 http server enable http lan_net_office 255.255.255.0 inside http lan_net_sklad 255.255.255.0 inside http 1.1.1.1 255.255.255.255 outside http 2.2.2.2 255.255.255.255 outside http 3.3.3.3 255.255.255.255 outside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec ikev1 transform-set myset esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal 3DES protocol esp encryption 3des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES protocol esp encryption aes protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES192 protocol esp encryption aes-192 protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map outside_map 11 match address cryptomap_of_sklad crypto map outside_map 11 set pfs crypto map outside_map 11 set peer wan_sklad crypto map outside_map 11 set ikev1 transform-set myset crypto map outside_map 11 set security-association lifetime seconds 28800 crypto map outside_map 11 set security-association lifetime kilobytes 4608000 crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto ca trustpoint _SmartCallHome_ServerCA crl configure crypto ca trustpoint ASDM_Office enrollment self subject-name CN=ciscoasaOffice crl configure crypto ca certificate chain _SmartCallHome_ServerCA certificate ca 6ecc7aa5a7032009b8cebcf4e952d491 308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130 0d06092a 864886f7 0d010105 05003081 ca310b30 09060355 04061302 55533117 30150603 55040a13 0e566572 69536967 6e2c2049 6e632e31 1f301d06 0355040b 13165665 72695369 676e2054 72757374 204e6574 776f726b 313a3038 06035504 0b133128 63292032 30303620 56657269 5369676e 2c20496e 632e202d 20466f72 20617574 686f7269 7a656420 75736520 6f6e6c79 31453043 06035504 03133c56 65726953 69676e20 436c6173 73203320 5075626c 69632050 72696d61 72792043 65727469 66696361 74696f6e 20417574 686f7269 7479202d 20473530 1e170d31 30303230 38303030 3030305a 170d3230 30323037 32333539 35395a30 81b5310b 30090603 55040613 02555331 17301506 0355040a 130e5665 72695369 676e2c20 496e632e 311f301d 06035504 0b131656 65726953 69676e20 54727573 74204e65 74776f72 6b313b30 39060355 040b1332 5465726d 73206f66 20757365 20617420 68747470 733a2f2f 7777772e 76657269 7369676e 2e636f6d 2f727061 20286329 3130312f 302d0603 55040313 26566572 69536967 6e20436c 61737320 33205365 63757265 20536572 76657220 4341202d 20473330 82012230 0d06092a 864886f7 0d010101 05000382 010f0030 82010a02 82010100 b187841f c20c45f5 bcab2597 a7ada23e 9cbaf6c1 39b88bca c2ac56c6 e5bb658e 444f4dce 6fed094a d4af4e10 9c688b2e 957b899b 13cae234 34c1f35b f3497b62 83488174 d188786c 0253f9bc 7f432657 5833833b 330a17b0 d04e9124 ad867d64 12dc744a 34a11d0a ea961d0b 15fca34b 3bce6388 d0f82d0c 948610ca b69a3dca eb379c00 48358629 5078e845 63cd1941 4ff595ec 7b98d4c4 71b350be 28b38fa0 b9539cf5 ca2c23a9 fd1406e8 18b49ae8 3c6e81fd e4cd3536 b351d369 ec12ba56 6e6f9b57 c58b14e7 0ec79ced 4a546ac9 4dc5bf11 b1ae1c67 81cb4455 33997f24 9b3f5345 7f861af3 3cfa6d7f 81f5b84a d3f58537 1cb5a6d0 09e4187b 384efa0f 02030100 01a38201 df308201 db303406 082b0601 05050701 01042830 26302406 082b0601 05050730 01861868 7474703a 2f2f6f63 73702e76 65726973 69676e2e 636f6d30 12060355 1d130101 ff040830 060101ff 02010030 70060355 1d200469 30673065 060b6086 480186f8 45010717 03305630 2806082b 06010505 07020116 1c687474 70733a2f 2f777777 2e766572 69736967 6e2e636f 6d2f6370 73302a06 082b0601 05050702 02301e1a 1c687474 70733a2f 2f777777 2e766572 69736967 6e2e636f 6d2f7270 61303406 03551d1f 042d302b 3029a027 a0258623 68747470 3a2f2f63 726c2e76 65726973 69676e2e 636f6d2f 70636133 2d67352e 63726c30 0e060355 1d0f0101 ff040403 02010630 6d06082b 06010505 07010c04 61305fa1 5da05b30 59305730 55160969 6d616765 2f676966 3021301f 30070605 2b0e0302 1a04148f e5d31a86 ac8d8e6b c3cf806a d448182c 7b192e30 25162368 7474703a 2f2f6c6f 676f2e76 65726973 69676e2e 636f6d2f 76736c6f 676f2e67 69663028 0603551d 11042130 1fa41d30 1b311930 17060355 04031310 56657269 5369676e 4d504b49 2d322d36 301d0603 551d0e04 1604140d 445c1653 44c1827e 1d20ab25 f40163d8 be79a530 1f060355 1d230418 30168014 7fd365a7 c2ddecbb f03009f3 4339fa02 af333133 300d0609 2a864886 f70d0101 05050003 82010100 0c8324ef ddc30cd9 589cfe36 b6eb8a80 4bd1a3f7 9df3cc53 ef829ea3 a1e697c1 589d756c e01d1b4c fad1c12d 05c0ea6e b2227055 d9203340 3307c265 83fa8f43 379bea0e 9a6c70ee f69c803b d937f47a 6decd018 7d494aca 99c71928 a2bed877 24f78526 866d8705 404167d1 273aeddc 481d22cd 0b0b8bbc f4b17bfd b499a8e9 762ae11a 2d876e74 d388dd1e 22c6df16 b62b8214 0a945cf2 50ecafce ff62370d ad65d306 4153ed02 14c8b558 28a1ace0 5becb37f 954afb03 c8ad26db e6667812 4ad99f42 fbe198e6 42839b8f 8f6724e8 6119b5dd cdb50b26 058ec36e c4c875b8 46cfe218 065ea9ae a8819a47 16de0c28 6c2527b9 deb78458 c61f381e a4c4cb66 quit crypto ca certificate chain ASDM_Office certificate e10e4055 308201ef 30820158 a0030201 020204e1 0e405530 0d06092a 864886f7 0d010105 0500303c 31173015 06035504 03130e63 6973636f 6173614f 66666963 65312130 1f06092a 864886f7 0d010902 16126369 73636f61 73612e6b 72656d69 742e7275 301e170d 31353130 32323232 30383139 5a170d32 35313031 39323230 3831395a 303c3117 30150603 55040313 0e636973 636f6173 614f6666 69636531 21301f06 092a8648 86f70d01 09021612 63697363 6f617361 2e6b7265 6d69742e 72753081 9f300d06 092a8648 86f70d01 01010500 03818d00 30818902 81810093 6e51567c 3d63d04b 374d77ca 753b5399 73bd92d2 adeffbc8 3c1439a5 26e72989 70e81f89 fde165ca 2461fee3 0c026495 0d63063a 26139674 4ac59a76 5c063e2a 87a3a059 a1cab48d 4b19e509 a9c56570 fca7bd58 bffd32c9 c9abfc7c 3cfbbfe6 0a9d20f0 c0ba56a3 80b002ec 35564bca 10202e23 ec25fa2f 534384d7 3a1cfb02 03010001 300d0609 2a864886 f70d0101 05050003 8181004c 589862cc 89efbc97 b4123db1 5d93e8e9 2bb3c2b0 5c1e13d9 f83c537e a9c43b99 424bd1bc 5fd437ec 328cf3f6 750966ad 12635f1e 57c96897 a598b2f4 9bfd3805 9a86c132 df4c55c6 783192ca 4d43917f 50fb89f8 cdb0c562 0de42f3a 103cb847 547c328b 9099ff0e ace1f3e0 12954c52 e9090c12 90f434ae e0d5d342 58f967 quit crypto isakmp identity address crypto ikev2 policy 1 encryption aes-256 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 10 encryption aes-192 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 20 encryption aes integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 30 encryption 3des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 40 encryption des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 enable outside client-services port 443 crypto ikev2 remote-access trustpoint ASDM_Office crypto ikev1 enable outside crypto ikev1 policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 telnet lan_net_office 255.255.255.0 inside telnet lan_net_sklad 255.255.255.0 inside telnet timeout 5 ssh lan_net_office 255.255.255.0 inside ssh lan_net_sklad 255.255.255.0 inside ssh 1.1.1.1 255.255.255.255 outside ssh 2.2.2.2 255.255.255.255 outside ssh 3.3.3.3 255.255.255.255 outside ssh timeout 10 ssh key-exchange group dh-group1-sha1 console timeout 0 threat-detection basic-threat threat-detection statistics threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200 ssl trust-point ASDM_Office outside webvpn enable outside anyconnect-essentials anyconnect image disk0:/anyconnect-win-4.1.06020-k9.pkg 1 anyconnect image disk0:/anyconnect-win-3.1.02026-k9.pkg 2 anyconnect profiles SSLClient_client_profile disk0:/SSLClient_client_profile.xml anyconnect enable tunnel-group-list enable group-policy GroupPolicy_SSLClient internal group-policy GroupPolicy_SSLClient attributes wins-server none dns-server value 192.168.1.248 vpn-tunnel-protocol ikev2 ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value Split-ACL default-domain value mycompany.local webvpn anyconnect profiles value SSLClient_client_profile type user username test password nDBzuKsDBP/i1HkO encrypted username admin_account password 3JniP0SC52onyDiW encrypted privilege 15 username admin_account attributes vpn-tunnel-protocol ssl-client username admin1 password xxx encrypted privilege 15 tunnel-group DefaultL2LGroup ipsec-attributes ikev1 pre-shared-key ***** tunnel-group DefaultRAGroup ipsec-attributes isakmp keepalive threshold 10 retry 2 tunnel-group DefaultWEBVPNGroup ipsec-attributes isakmp keepalive threshold 10 retry 2 tunnel-group SSLClient type remote-access tunnel-group SSLClient general-attributes address-pool SSL-Pool default-group-policy GroupPolicy_SSLClient tunnel-group SSLClient webvpn-attributes group-alias SSLClient enable tunnel-group-map default-group DefaultL2LGroup ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect icmp class class-default user-statistics accounting ! service-policy global_policy global prompt hostname context call-home reporting anonymous hpm topN enable Cryptochecksum:d4a9d40cf30626fab6029441e0b42758 : end
26 окт 2015, 10:43
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2678	1.чтобы только трафик направленный в подсети 192.168.1.024 и 192.168.12.024 шел в туннель (это удалось, но подсеть 192.168.12.024 не пингуется) может сеть 192.168.12.0/24 стоит добавить в access-list Split-ACL standard permit 192.168.1.0 255.255.255.0 nat (inside,outside) source static NETWORK_OBJ_192.168.1.0_24 NETWORK_OBJ_192.168.1.0_24 destination static NETWORK_OBJ_192.168.11.0_24 NETWORK_OBJ_192.168.11.0_24 no-proxy-arp route-lookup а где такое исключение для сети 192.168.12.0/24, только для (outside,outside)? Вообще пользуйтесь bbcode code, что бы можно было читать удобней
26 окт 2015, 10:58
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1877	route outside 0.0.0.0 0.0.0.0 213.167.46.225 1 У Вас только такой маршрут. 192.168.12.0/24 - это сеть на другой стороне IPSec Tunnel - lan-net-sklad? Если да - то там нужно много на двух ASA дописать...
26 окт 2015, 11:30
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2678	то там нужно много на двух ASA дописать... про вторую сторону думал позже поговорить .
26 окт 2015, 11:35
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	1.чтобы только трафик направленный в подсети 192.168.1.024 и 192.168.12.024 шел в туннель (это удалось, но подсеть 192.168.12.024 не пингуется) может сеть 192.168.12.0/24 стоит добавить в access-list Split-ACL standard permit 192.168.1.0 255.255.255.0 nat (inside,outside) source static NETWORK_OBJ_192.168.1.0_24 NETWORK_OBJ_192.168.1.0_24 destination static NETWORK_OBJ_192.168.11.0_24 NETWORK_OBJ_192.168.11.0_24 no-proxy-arp route-lookup а где такое исключение для сети 192.168.12.0/24, только для (outside,outside)? Вообще пользуйтесь bbcode code, что бы можно было читать удобней Спасибо за подсказки ! Проверить нет возможности, но исправления внес. nat (inside,outside) source static NETWORK_OBJ_192.168.12.0_24 NETWORK_OBJ_192.168.12.0_24 destination static NETWORK_OBJ_192.168.11.0_24 NETWORK_OBJ_192.168.11.0_24 no-proxy-arp route-lookup Причем это я внес на второй 5505 с подсетью 192.168.12.024 в удаленном сайте. Правильно ?
26 окт 2015, 11:43
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	route outside 0.0.0.0 0.0.0.0 213.167.46.225 1 У Вас только такой маршрут. 192.168.12.0/24 - это сеть на другой стороне IPSec Tunnel - lan-net-sklad? Если да - то там нужно много на двух ASA дописать... Да с другой стороны у меня маршрут на шлюз того провайдера. Больше маршрутов нет.
26 окт 2015, 11:45
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2678	Причем это я внес на второй 5505 с подсетью 192.168.12.024 в удаленном сайте. Правильно ? правильно, но вам надо и на первой внести. Ведь первая ASA тоже должна знать что трафик с 12 сети в 11 не надо натить.
26 окт 2015, 12:00
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	Причем это я внес на второй 5505 с подсетью 192.168.12.024 в удаленном сайте. Правильно ? правильно, но вам надо и на первой внести. Ведь первая ASA тоже должна знать что трафик с 12 сети в 11 не надо натить. да , сделал просто не написал
26 окт 2015, 12:39
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	route outside 0.0.0.0 0.0.0.0 213.167.46.225 1 У Вас только такой маршрут. 192.168.12.0/24 - это сеть на другой стороне IPSec Tunnel - lan-net-sklad? Если да - то там нужно много на двух ASA дописать... может есть смысл дописать (на удаленной 5505) это ? route inside 192.168.11.0 255.255.255.0 192.168.1.254 1
26 окт 2015, 12:44
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2678	может есть смысл дописать (на удаленной 5505) это ? route inside 192.168.11.0 255.255.255.0 192.168.1.254 1 нет смысла. Тем более пока не ясно, у вас же сеть 192.168.11.0 255.255.255.0 висит за outside. И явно дял второй ASA этот адрес 192.168.1.254 не может быть шлюзом, тем более во внутренний интерфейс второй ASA.
26 окт 2015, 12:53
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1877	может есть смысл дописать (на удаленной 5505) это ? route inside 192.168.11.0 255.255.255.0 192.168.1.254 1 У Вас пакеты для сети 192.168.11.0/24 (согласно Вашей схемы) ни при каких обстоятельствах не могут уходить через интерфейс inside.
26 окт 2015, 14:15
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100	может есть смысл дописать (на удаленной 5505) это ? route inside 192.168.11.0 255.255.255.0 192.168.1.254 1 У Вас пакеты для сети 192.168.11.0/24 (согласно Вашей схемы) ни при каких обстоятельствах не могут уходить через интерфейс inside. Николай, а что выимели ввиду ? 'Если да - то там нужно много на двух ASA дописать...' разве не достаточно обычного роута на шлюз провайдера на обоих узлах ?
26 окт 2015, 14:25
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1877	Недостаточно. Нужно еще прописать соответствующие строки в ACL для криптомап, соответствующие исключения из NAT, и same-security-traffic permit intra-interface в головной ASA. Вроде бы ничего не забыл...
26 окт 2015, 14:33

Страница 1 из 1

[ Сообщений: 21 ]

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 63

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения