The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Проброс VPN черех ASA 5512, !*! RPaha, 02-Фев-14, 00:32  [смотреть все]
Добрый день!
Привезли мне новенькую ASA 5512, есть моменты которые пока не совсем понятны. Прошу помощи.

Пытаюсь настроить проброс VPN через асу на MS ISA. Знаю, конечно, что при наличии асы ВПН лучше делать на ней же, но пока не разберусь окончательно с тонкостями настройки пусть будет по старому.
Итак, сделал следующее: (192.168.5.41 - адрес MS ISA)

object network 192.168.5.41-udp-500
host 192.168.5.41
object network 192.168.5.41-udp-4500
host 192.168.5.41
object network 192.168.5.41-tcp-1721
host 192.168.5.41
object network 192.168.5.41-tcp-1723
host 192.168.5.41

access-list outside_access_in extended permit udp any object 192.168.5.41-udp-500 eq isakmp
access-list outside_access_in extended permit udp any object 192.168.5.41-udp-4500 eq 4500
access-list outside_access_in extended permit tcp any object 192.168.5.41-tcp-1721 eq 1721
access-list outside_access_in extended permit tcp any object 192.168.5.41-tcp-1723 eq pptp

object network 192.168.5.41-udp-500
nat (inside,outside) static interface service udp isakmp isakmp
object network 192.168.5.41-udp-4500
nat (inside,outside) static interface service udp 4500 4500
object network 192.168.5.41-tcp-1721
nat (inside,outside) static interface service tcp 1721 1721
object network 192.168.5.41-tcp-1723
nat (inside,outside) static interface service tcp 1723 1723

Результат таков: соединение ВПН не проходит. Подвисает на этапе проверки логина и пароля.

Что я сделал не так?

Ответить | Сообщить модератору
  • Проброс VPN черех ASA 5512, !*! spiegel, 17:13 , 02-Фев-14 (1)
    • Проброс VPN черех ASA 5512, !*! RPaha, 15:54 , 03-Фев-14 (2)
      >[оверквотинг удален]
      >> пароля.
      >> Что я сделал не так?
      > Навскидку не хватает аналогичного access-list на входе:
      > access-list inside_access_in extended permit udp host 192.168.5.41 any eq isakmp
      > access-list inside_access_in permit udp host 192.168.5.41 any eq 4500
      > access-list inside_access_in permit esp host 192.168.5.41 any
      > ...
      > и самое главное, активировать их на интерфейсах:
      > access-group inside_access_in in interface inside
      > access-group outside_access_in in interface outside

      Большое спасибо за ответ!
      Но, к сожалению, Ваш совет не помог - также подвисает на этапе аутентификации.

      Еще заметил, что DNS порты и FTP работают даже без ACL на входе.

      Что все-таки может быть?

      Ответить | Сообщить модератору
      • Проброс VPN черех ASA 5512, !*! McLeod095, 19:03 , 03-Фев-14 (3)
        • Проброс VPN черех ASA 5512, !*! RPaha, 15:46 , 04-Фев-14 (4)
          >[оверквотинг удален]
          >> аутентификации.
          >> Еще заметил, что DNS порты и FTP работают даже без ACL на
          >> входе.
          >> Что все-таки может быть?
          > Давайте весь конфиг
          > А то получается гадание на кофейной гуще
          > Ну и кстати, поднять на асе впн для АД пользователей дело 10
          > минут, я правда тыкался как котенок порядка 2 недель, оказалось все
          > просто. Так что лучше наверное поднять радиус на винде и настроить
          > асу.

          Тогда, чтобы мне не тыкаться как котенку две недели, расскажите, пожалуйста, как это сделать.  Буду очень признателен

          Ответить | Сообщить модератору
  • Проброс VPN черех ASA 5512, !*! crash, 20:15 , 13-Фев-14 (6)

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру