firefighter 10 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 Hallo zusammen, ich suche eine Einstellmöglichkeit bei einer aktiven VPN Verbindung trotzdem im lokalen Netzwerk/Internet surfen zu können. Details: Vorhanden ist eine Cisco ASA 5510. Clients verbinden sich mit dem Cisco VPN Client und können fortan alles im Firmennetz tun. Ich möchte aber, dass bestimmte Gruppen trotzdem - während sie im Firmennetzwerk arbeiten - in Ihrem eigenen Netzwerk über LAN drucken können ohne jedesmal die Verbindung ab und wieder aufbauen zu müssen. Voraussetzung ist natürlich, dass lokales LAN und Firmenlan nicht dem gleichen Subnetz angehören - tun sie auch nicht. Jetzt hab ich aber im ASDM nicht wirklich eine Einstellmöglichkeit in der Group Policy gefunden (zumindest nichts offensichtliches). Die Client-Firewall Einstellung ist breits deaktiviert. In der Doku von CIsco kam ich leider nicht viel weiter :( Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 Bist du sicher? Such mal nach Splittunneling oder Split-ACL. Zitieren Link zu diesem Kommentar
firefighter 10 Geschrieben 18. Oktober 2007 Autor Melden Teilen Geschrieben 18. Oktober 2007 Bist du sicher? Such mal nach Splittunneling oder Split-ACL. Hallo Wordo, die Split Tunnel Policy habe ich tatsächlich. Sie ist auf "Tunnel All Network" eingestellt. Nur bin ich mir nicht sicher wie mir das genau weiterhelfen kann. Laut Cisco Hilfe: "Split Tunnel Policy—Specifies whether to inherit the split-tunnel policy from the default group policy or select a policy from the menu. The menu options are to tunnel all networks, tunnel those in the network list below, or exclude those in the network list below." Danke für Deine Hilfe. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 Genau, du traegst einfach die Netze ein, in die die Clients muessen (per VPN). Alles andere laeuft dann uebers normale LAN. Ist halt in Bezug auf Sicherheit etwas bedenklich. Zitieren Link zu diesem Kommentar
firefighter 10 Geschrieben 18. Oktober 2007 Autor Melden Teilen Geschrieben 18. Oktober 2007 Genau, du traegst einfach die Netze ein, in die die Clients muessen (per VPN). Alles andere laeuft dann uebers normale LAN. Ist halt in Bezug auf Sicherheit etwas bedenklich. Ja, das stimmt. Ich habe die Regel daher nur eine bestimmte Gruppe aktiviert und zwar nur für die Leute, die es auch wirklich benötigen. Ich danke Dir erstmal. Ich habe folgende Änderungen gemacht: Split Tunnel Policy: "Tunnel Network List Below" Split Tunnel Network List: Neue ACL angelegt mit ACE Subnetz der Firma. Jetzt muss ich das nur noch alles testen. :) Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 Ich habe folgende Änderungen gemacht: Split Tunnel Policy: "Tunnel Network List Below" Split Tunnel Network List: Neue ACL angelegt mit ACE Subnetz der Firma. :) Unter welchem Menuepunkt stellst Du das bei der ASA denn ein? Irgendwie habe ich Tomaten auf den Augen :rolleyes: Zitieren Link zu diesem Kommentar
firefighter 10 Geschrieben 18. Oktober 2007 Autor Melden Teilen Geschrieben 18. Oktober 2007 Unter welchem Menuepunkt stellst Du das bei der ASA denn ein? Irgendwie habe ich Tomaten auf den Augen :rolleyes: In der ADSM (bei mir 5.2)... Also erstmal wechselst Du auf Configuration -> VPN -> General -> Group policy -> Gruppe auswählen und edit klicken und dann auf den dritten Reiter "Client Configuration" wechseln -> fertig :D Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 THX, fahre aber mittlerweile Version 6 - habs dort aber auch mittlerweile gefunden. :) Was mich allerdings wundert ist folgendes: Lege ich mit dem VPN Wizzard ein RA VPN an, erhalte ich beim Einrichten von split-tunneling folgende Meldung: "You cannot select groups when you configure split tunneling" Was ich bezwecken möchte ist, dass die RA-User nur auf eine bestimmte Gruppe Server (konfiguriert als network access-group) zugreifen dürfen. Wieso muss ich die einzeln angeben und kann die Gruppe nicht verwenden? Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 22. Oktober 2007 Melden Teilen Geschrieben 22. Oktober 2007 Ja, das stimmt. Ich habe die Regel daher nur eine bestimmte Gruppe aktiviert und zwar nur für die Leute, die es auch wirklich benötigen. Ich danke Dir erstmal. Ich habe folgende Änderungen gemacht: Split Tunnel Policy: "Tunnel Network List Below" Split Tunnel Network List: Neue ACL angelegt mit ACE Subnetz der Firma. Jetzt muss ich das nur noch alles testen. :) Wie ist Dein Test ausgefallen? Vielleicht kannst Du mir einen Tipp geben, bei mir läufts nämlich nicht. Der Tunnel steht, mehr aber auch nicht. . access-list nat0_outbound extended permit ip object-group Server 172.16.222.0 255.255.255.252 access-list 100 extended permit tcp object-group Server 172.16.222.0 255.255.255.0 ip local pool testpool 172.16.222.1-172.16.222.2 mask 255.255.255.0 nat (ISK) 0 access-list nat0_outbound group-policy testsplit attributes wins-server value XXX dns-server value XXX vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value 100 default-domain value test.de split-dns value meinefirma.de tunnel-group testsplit type remote-access tunnel-group testsplit general-attributes address-pool testpool authentication-server-group ACS_Auth default-group-policy testsplit tunnel-group testsplit ipsec-attributes pre-shared-key * Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.