URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16789
[ Назад ]

Исходное сообщение
"Windows L2TP to ASA & split tunneling"
Отправлено And_V , 25-Июл-08 21:34

Дайте помощь пожалуйста.
Настроил подключение РС к ASA.
Либо Cisco VPN CLientом либо виндовым встроенным клиентом. Подключается и так и так.
Но в первом случае особых проблем нет. Настраиваю сплит туннелинг, инет работает через внешний адрес, через впновский работает внутренняя сеть. Всё как и положено.
Причём в таблице маршрутизации компа всё так и отображается.
Но когда подключаюсь виндовым клиентом, такое ощущение, что он игнорирует все цискины настройки. Сплит туннелинг, сети все прописаны, всё так же как и для цисковского клиента. Но в зависимости от галочки в дополнительных сетевых настройках у меня либо остаётся инет, отсутствует доступ к частной сети, либо наоборот, инет пропадает, в частную сеть хожу. Причём если вручную прописать маршруты на компе - всё к желаемому виду приходит.
Подскажите пожалуйста, в каком месте надо что прописать?
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ASA-Inside
ASA-Inside описывает сети, на которые должен трафик идти в туннель.
То же самое что и для цисковского клиента.

username winclnt password KLbUg== nt-encrypted
username winclnt attributes
vpn-group-policy DefaultRAGroup
vpn-tunnel-protocol l2tp-ipsec
service-type remote-access
tunnel-group DefaultRAGroup general-attributes
address-pool winvpnIP
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2

tunnel-group-map enable rules
no tunnel-group-map enable ou
no tunnel-group-map enable peer-ip
prompt hostname context

Содержание

Windows L2TP to ASA & split tunneling,Ярослав Росомахо, 13:43 , 26-Июл-08
- Windows L2TP to ASA & split tunneling,Евгений, 10:11 , 14-Ноя-08
  - Windows L2TP to ASA & split tunneling,Andrew Kolchoogin, 01:00 , 13-Янв-10

Сообщения в этом обсуждении

"Windows L2TP to ASA & split tunneling"
Отправлено Ярослав Росомахо , 26-Июл-08 13:43

>Но когда подключаюсь виндовым клиентом, такое ощущение, что он игнорирует все цискины
>настройки. Сплит туннелинг, сети все прописаны, всё так же как и
>для цисковского клиента.
Виндовый клиент не поддерживает сплит тунелинг. Единственный вариант - прописывать руками (или скриптом) маршруты после соединения на клиентской машине.

"Windows L2TP to ASA & split tunneling"
Отправлено Евгений , 14-Ноя-08 10:11

>>Но когда подключаюсь виндовым клиентом, такое ощущение, что он игнорирует все цискины
>>настройки. Сплит туннелинг, сети все прописаны, всё так же как и
>>для цисковского клиента.
>
>Виндовый клиент не поддерживает сплит тунелинг. Единственный вариант - прописывать руками (или
>скриптом) маршруты после соединения на клиентской машине.
Если речь идет о виндовом варианте Cisco VPN Client, то в настройках подключения, вкладка "Transport" есть галочка "Allow Local LAN Access". Ессно, на впн-сервере должен быть правильно настроен сплит туннелинг. Все работает.

"Windows L2TP to ASA & split tunneling"
Отправлено Andrew Kolchoogin , 13-Янв-10 01:00

> Если речь идет о виндовом варианте Cisco VPN Client,
Нет.
> то в настройках подключения, вкладка "Transport" есть галочка
> "Allow Local LAN Access".
Нет.
> Ессно, на впн-сервере должен быть правильно настроен
> сплит туннелинг. Все работает.
Нет.
"Слышал звон, да не знаю, где он".
Во-первых, речь идёт не о Windows Cisco VPN Client'е, а о встроенном в Windows L2TP-клиенте. Начиная с Windows XP, он там есть, но, к сожалению, Цискины атрибуты о параметрах сплит-туннеля он игнорирует, так что выход только один -- прописывать скриптом маршруты.
Во-вторых, галочка "Allow Local LAN Access" -- это НЕ split tunneling.
В-третьих, если на Cisco НАСТРОЕН split tunneling, то эта "галочка" вообще игнорируется.
Если на Cisco настроить Split Tunneling, тогда Linux'овый Cisco VPN Client (он консольный) _всегда_ будет писать "Local LAN Access Disabled", даже если в .pcf'ку вбить в это поле единичку, а в цискин конфиг дополнительно к параметру "acl такой-то он там" вбить "include-local-lan" -- сплит-туннелинг "перебивает" значение этого параметра.
А если уж хочется пользоваться именно им, то сплит-туннелинга быть НЕ должно (параметр "acl" в описании группы должен ОТСУТСТВОВАТЬ), а опция доступа к локальной сети должна БЫТЬ (параметр "include-local-lan" в описании группы должен ПРИСУТСТВОВАТЬ), а то галочка неактивной будет.
Читайте доки -- они рулят! :) Впрочем, если начать конфигурировать профиль группы, набрать в консоли Циски "include-local-lan ?", то она напишет, что эта опция разрешает доступ к локальной сети БЕЗ split-tunneling, что таки наводит на мысли. :)))