ASA 5505 - Routing in das Local LAN

[mickey 10]

hey alle miteinander,

 

 

ich habe mittlerweile mein PIX gegen ein ASA 5505 umgetauscht. ich schaffe es mit den clients IP's aus dem VPN Pool zu beziehen. auf den clients selbst wird auch das routing richtig eingetragen, ziel MASK und Gateway ist die eigene IP des VPN Clients. jedoch weder noch beim tracert noch beim ping komme ich in das andere netz. hier die aktuelle Config des ASA:

 

Result of the command: "show configuration"

: Saved
: Written by enable_15 at 23:48:17.057 UTC Wed Jan 2 2008
!
ASA Version 7.2(3) 
!
hostname ciscoasa
domain-name default.domain.invalid
names
!
interface Vlan1
nameif inside
security-level 0
ip address 192.168.66.3 255.255.255.0 
!
interface Vlan2
nameif outside
security-level 0
ip address 83.XXX.XXX.XXX 255.255.255.248 
!
interface Ethernet0/0
switchport access vlan 2
!

ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group network VPNPOOL
network-object 192.168.170.0 255.255.255.224
access-list DRXDRX_splitTunnelAcl standard permit 192.168.66.0 255.255.255.0 
access-list inside_nat0_outbound extended permit ip 192.168.66.0 255.255.255.0 192.168.170.0 255.255.255.224 
access-list outside_cryptomap extended permit ip any 192.168.170.0 255.255.255.224 
access-list outside_cryptomap_20.20 extended permit ip any object-group VPNPOOL 
access-list outside_access_in extended permit ip any any 
pager lines 24
mtu outside 1500
mtu inside 1500
ip local pool VPNPOOL 192.168.170.2-192.168.170.19 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 83.65.205.201 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.66.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
client-update enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.66.4-192.168.66.131 inside
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
 message-length maximum 512
policy-map global_policy
class inspection_default
 inspect dns preset_dns_map 
 inspect ftp 
 inspect h323 h225 
 inspect h323 ras 
 inspect rsh 
 inspect rtsp 
 inspect esmtp 
 inspect sqlnet 
 inspect skinny 
 inspect sunrpc 
 inspect xdmcp 
 inspect sip 
 inspect netbios 
 inspect tftp 
!
service-policy global_policy global
group-policy DRXDRX internal
group-policy DRXDRX attributes
vpn-tunnel-protocol IPSec 
split-tunnel-policy tunnelspecified
split-tunnel-network-list value DRXDRX_splitTunnelAcl
username eblaschka password qOCiUdZYYRaUOrsK encrypted privilege 15
tunnel-group DRXDRX type ipsec-ra
tunnel-group DRXDRX general-attributes
address-pool VPNPOOL
default-group-policy DRXDRX
tunnel-group DRXDRX ipsec-attributes
pre-shared-key *
prompt hostname context 
Cryptochecksum:19748d2ae31bcaf68535343abf8e6d8d

 

es ist somit kein connect in das local #LAN möglich...

 

danke!

[blackbox 10]

Hi,

 

Inside Security Level = 0 ? - da sollte 100 stehen - das am meisten geschützte Netz.

 

Desweiteren fehlt eine NAT Exception Rule für das VPN-Net nach Intern.

 

Das konnte ich so auf die schnelle sehen.

 

Gruss Michael

[mickey 10]

sodala, habe herausgefunden dass alles wunderbar funktioniert, solange ich mich hinter keinem router mich befinde... sobald ich nicht direkt im inet hänge kann ich nciht in das locale LAN pingen etc.,... ist aber ein generelles Problem, egal welcher router bzw. nat dazwischen hängt... welche Einstellung ist hier zu beachten?

[blackbox 10]

Hallo,

 

dann hast du ein Problem, das NAT Traversal fehlt. Hast du die Config oben aber schon bearbeitet - oder ?

[mickey 10]

helllo,

 

 

anbei die aktuelle config

 

 

Result of the command: "show config"

: Saved
: Written by enable_15 at 07:21:33.647 UTC Thu Jan 3 2008 !
ASA Version 7.2(3)
!
hostname fwpr
domain-name pr.local
interface Vlan1
nameif inside
security-level 100
ip address 192.168.66.3 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 83.XXX.XXX.XXX 255.255.255.248 !
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 50
no ip address
!
interface Ethernet0/0
switchport access vlan 2
speed 100
duplex full
!
interface Ethernet0/1
speed 100
duplex full
!
interface Ethernet0/2
!
interface Ethernet0/7
switchport access vlan 3
!
passwd XXXXXXx encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name pr.local
same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list PR_splitTunnelAcl standard permit 192.168.66.0 255.255.255.0

access-list inside_nat0_outbound extended permit ip 192.168.66.0 255.255.255.0 192.168.66.128 255.255.255.128 pager lines 24 logging enable logging asdm notifications mtu outside 1500 mtu inside 1500 mtu dmz 1500 ip local pool VPN_POOL 192.168.66.180-192.168.66.210 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-523.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 83.65.205.201 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute aaa-server PR_SERVER protocol radius aaa-server PR_SERVER host 192.168.66.2  timeout 5  key PR http server enable http 192.168.66.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 20 set pfs crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10  authentication pre-share  encryption 3des  hash sha  group 2  lifetime 86400 client-update enable telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd auto_config outside !
dhcpd address 192.168.66.4-192.168.66.131 inside dhcpd enable inside !

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map  parameters
 message-length maximum 512
policy-map global_policy
class inspection_default
 inspect dns preset_dns_map
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect rsh
 inspect rtsp
 inspect esmtp
 inspect sqlnet
 inspect skinny
 inspect sunrpc
 inspect xdmcp
 inspect sip
 inspect netbios
 inspect tftp
!
service-policy global_policy global
group-policy PR internal
group-policy PR attributes
dns-server value 192.168.66.2
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value PR_splitTunnelAcl  default-domain value pr.local tunnel-group PR type ipsec-ra tunnel-group PR general-attributes  address-pool VPN_POOL  authentication-server-group PR_SERVER  default-group-policy PR tunnel-group PR ipsec-attributes  pre-shared-key * prompt hostname context Cryptochecksum:697515f76f03de2a21218ed5ff511b9f

[mickey 10]

hey, und ist hier jemanden etwas aufgefallen was das routing hinter einem nat stören könnte? lg

[blackbox 10]

das muss was mit dem nat zu tun haben - ist der nat-t haken im asdm gesetzt ? Was sagt das log im asdm ? Wenn es ein nat-t problem ist - meldet er für die pakete fehler.

[mickey 10]

"ist der nat-t haken im asdm gesetzt"

 

wo soll sich der befinden?

[mickey 10]

okay, gefunden IKE global...

hackerl gesetzt - nun funktioniert es....

 

danke für den tippppp