Jump to content

Easy VPN

hegl

Von hegl
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hegl

hegl   10

Geschrieben
Geschrieben

Folgendes Szenario:

 

privates Netz --- PIX als Easy VPN --- DSL-Router --- Internet --- ASA --- Firmen LAN

 

Die User aus dem privaten Netz können auch problemlos auf die Server im Firmen-LAN zugreifen. Andersherum ist es genauso möglich, aus dem Server-VLAN in das private Netz zuzugreifen.

 

Nun besteht aber die Anforderung, auch aus einem anderen VLAN im Firmen-LAN auf einen Netzwerkdrucker in dem privaten Netz zuzugreifen. Der Zugriff funktioniert aber erst dann, wenn ein Client aus dem privaten Netz in eben dieses VLAN eine Verbindung initiiert hat, d.h der Verbindungsaufbau muss aus dem privaten Netz kommen.

 

Wie kann ich das am einfachsten realisieren?

 

Habe gerade noch folgendes gefunden: Automatic tunnel initiation is disabled if secure unit authentication is enabled

 

Wo oder wie kann ich automatic tunnel initiation einschalten?

 

Zur info: konfiguriert habe ich den NEM!

Link zu diesem Kommentar
hegl

hegl   10

Geschrieben
  • Autor
Geschrieben
Hast du mal nen Config von der ASA ? Und was ist es für eine ASA ?

 

Erst einmal danke, dass Du Dich dem Thema annimmst.

 

Aber was willst Du mit der config bzw. dem ASA-Modell?

 

Grundsätzlich läuft der Tunnel und konfiguriert habe ich diesen über den Wizzard im ASDM, also Standard wie unter Cisco Security Appliance Command Line Configuration Guide, Version 7.2 - Configuring Easy VPN on the ASA 5505* [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems beschrieben.

 

Mittlerweile habe ich festgestellt, dass "automatic tunnel initiation" nichts mit meinem Problem zu tun hat. Der Tunnel steht, sobald die beiden device sich sehen. Aber die Zugriffe aus dem Firmen-LAN greifen erst, wenn vom privaten Netz hinter dem Easy-VPN-Client eine Verbindung initiiert wurde.

 

Wahrscheinlich ist das ja sogar so gewollt bzw Philosophie von CISCO.

 

Trotzdem würde es mich interessieren, wie es am elegantesten möglich ist, einen Zugriff auch vom Firmen-LAN zu ermöglichen.

Link zu diesem Kommentar
blackbox Mentor

blackbox   10

Geschrieben
Geschrieben

Nein das ist bestimmt nicht so gewollt - ich vermute eher, das auf der ASA ein Config Fehler vorliegt - desweiteren haette es sein können, das du einen Trunk Port auf einer 5505 gebaut haettest der aber leider bei der 5505 nur rennen will, wenn es draussen Sonnenschein hat. Wenn man so ein Problem wie du es oben Beschreibst hier stellt, solltest du auch anderen die chance geben, mehr Infos zu bekommen, den ASDM ist was schönes wenn er immer das tun würde was er soll und im Error Fall ist die Commandline halt um einiges besser.

 

PS: Was ist trotzdem als eine sehr gewagte Lösung ansehe, ist die Pix hinter einen DSL Router ? (Vor allem weil du von sowas in einem anderen Thread abraten tust)

 

Mfg

Link zu diesem Kommentar
hegl

hegl   10

Geschrieben
  • Autor
Geschrieben
Nein das ist bestimmt nicht so gewollt - ich vermute eher, das auf der ASA ein Config Fehler vorliegt - desweiteren haette es sein können, das du einen Trunk Port auf einer 5505 gebaut haettest der aber leider bei der 5505 nur rennen will, wenn es draussen Sonnenschein hat. Wenn man so ein Problem wie du es oben Beschreibst hier stellt, solltest du auch anderen die chance geben, mehr Infos zu bekommen, den ASDM ist was schönes wenn er immer das tun würde was er soll und im Error Fall ist die Commandline halt um einiges besser.

 

Bei meiner Frage nach dem Modell ging es mir darum, ob irgendwelche Probleme mit speziellen Typen bekannt sind.

Ich habe hier die ASA5520 im Einsatz und hier ist die config:

 

ip local pool easy-pool 172.16.200.1-172.16.200.6 mask 255.255.255.248

access-list ISK_nat0_outbound extended permit ip object-group LAN-IP object-group Remote-IP
access-list vpn extended permit ip object-group LAN-IP object-group Remote-IP 

group-policy EASY internal
group-policy EASY attributes
wins-server value XXX
dns-server value XXX
vpn-tunnel-protocol IPSec 
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpn
default-domain value test.de
split-dns value test.de 
nem enable

tunnel-group EASY type remote-access
tunnel-group EASY general-attributes
address-pool easy-pool
authentication-server-group VPN_Auth
default-group-policy EASY
tunnel-group EASY ipsec-attributes
pre-shared-key xxx

 

 

PS: Was ist trotzdem als eine sehr gewagte Lösung ansehe, ist die Pix hinter einen DSL Router ? (Vor allem weil du von sowas in einem anderen Thread abraten tust)

 

Mfg

 

Da bleibt mir aber keine andere Möglichkeit, da unsere Anwender auf der Remote-Site von der dortigen Firma nur einen, mit anderen Anwendern gemeinsam genutzten DSL-Anschluss zur Verfügung gestellt bekommen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...