ASA, EasyVPN

[hegl 10]

Moin, moin,

 

sehe mal wieder den Wald vor lauter Bäume nicht...

Habe ein funktionierendes EasyVPN, lokal 10.10.10.0 und remote 192.168.10.0.

Die remote hosts können auch auf die benötigten Ressourcen zugreifen. Jetzt möchte ich aber per http aus meinem LAN (10.10.10.1) auf einen Netzwerkdrucker (192.168.10.1) im Remote-LAN zugreifen.

Ich erhalte weder eine Fehlermeldung, noch kann ich zugreifen. Auf dem EasyVPN-Client sehe ich die Pakete nicht ankommen, auf dem EasyVPN-Server sehe ich aber die Anforderung. Wo liegt der Fehler in meiner config?

 

ip local pool test-pool 172.16.222.1-172.16.222.3 mask 255.255.255.0

access-list inside_out permit tcp host 10.10.10.1 host 192.168.10.1 eq 80
access-list nat0 extended permit ip host 10.10.10.0 host 192.168.10.0
access-list vpn extended permit ip host 10.10.10.0 host 192.168.10.0

access-group inside_out in interface inside

nat (inside) 0 access-list nat0

group-policy TEST internal
group-policy TEST attributes
wins-server value XXX 
dns-server value XXX
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpn
default-domain value test.de
split-dns value test.de
nem enable

unnel-group TEST type remote-access
tunnel-group TEST general-attributes
address-pool test-pool
authentication-server-group VPN_Auth
default-group-policy TEST

[thematrix 10]

Hmmm ... auf den ersten Blick sehe ich kein Routing ... fehlen die Routes in beide Netzwerke ?

 

Gruss,

 

theMatrix

[hegl 10]

Hmmm ... auf den ersten Blick sehe ich kein Routing ... fehlen die Routes in beide Netzwerke ?

 

Gruss,

 

theMatrix

 

Nein, die Routes sind ok, habe ich nur oben nicht mit angegeben.

[Wordo 11]

Muss man die Rueckrichtung in der VPN ACL nicht auch mitangeben (in machen Faellen, habs vergessen)?

[hegl 10]

Bei einer site-to-site hat man die Möglichkeit die Richtung zu wählen - bidirektional, answer only, originate only. Bei RA nicht.