VPN ASA - Ersetzen von Gateway

[mickey 10]

halli hallo,

ich habe mal eine config von einer neune ASA 5505:

hostname fwpr
domain-name xxxx.local
names
name 192.168.10.2 Miraculix
name 192.168.10.1 Obelix
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0 
!
interface Vlan2
nameif outside
security-level 0
ip address XX.XXX.XXX.XXX 255.255.255.248 
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 50
ip address 192.168.110.254 255.255.255.0 
!
interface Ethernet0/0
switchport access vlan 2
speed 100
duplex full
!
interface Ethernet0/1
speed 100
duplex full

!
interface Ethernet0/7
switchport access vlan 3
!
ftp mode passive
dns server-group DefaultDNS
domain-name xxxx.lan
access-list from-out-smtp extended permit tcp any interface outside 
access-list inside_nat0_outbound extended permit ip any 192.168.210.0 255.255.255.128 
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
ip local pool vpn_HN 192.168.210.10-192.168.210.100 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface smtp Miraculix smtp netmask 255.255.255.255 
route outside 0.0.0.0 0.0.0.0 xx.xxx.xxx.xxx 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
aaa-server xxxx_Radius protocol radius
aaa-server xxxx_Radius (inside) host Miraculix
timeout 5
key XXXXXX
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 20 set pfs group1
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal  20
client-update enable
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 5
console timeout 0

group-policy VPN_xxxx internal
group-policy VPN_xxxx attributes
dns-server value 192.168.10.2 192.168.10.1
vpn-tunnel-protocol IPSec 
default-domain value xxxx.lan
tunnel-group VPN_xxxx type ipsec-ra
tunnel-group VPN_xxxx general-attributes
address-pool vpn_HN
authentication-server-group xxxx_Radius
default-group-policy VPN_xxxx
tunnel-group VPN_xxxx ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
 message-length maximum 512
policy-map global_policy
class inspection_default
 inspect dns preset_dns_map 
 inspect ftp 
 inspect h323 h225 
 inspect h323 ras 
 inspect rsh 
 inspect rtsp 
 inspect esmtp 
 inspect sqlnet 
 inspect skinny 
 inspect sunrpc 
 inspect xdmcp 
 inspect sip 
 inspect netbios 
 inspect tftp 
!
service-policy global_policy global

 

meine frage bzw. problem (herausforderung) besteht darin, dass nach jedem connect automatisch der standard gateway auf dem client durch einen neuen ersetzt wird. ist es möglich zu sagen z.b.

route add 192.168.10.0 255.255.255.0 GW 192.168.210.201 oder so?

so das der defualt gateway am cleint unverändert bleibt!?

danke!

[blackbox 10]

Hi,

 

ich habe mir deine "Anforderung" jetzt 5 x durchgelesen - ich weiss beim besten Willen nicht was du vor hast. Desweiteren - wie soll ein Connect nach wo was bewirken ? Das ganze hört sich so an, das du das was du da irgendwie vorhast mind. ein Routing Protokloll brauchst.

[mickey 10]

hallo,

tut mir leid, habe mich da etwas kompliziert ausgedrückt...

 

wenn jetzt ein user zum cisco gerät eine VPN Verbindung aufbaut, wird bei ihm der Standard gateway ersetzt. somit gehen auch seine Internet Pakete über die vpn übers firmen lan wieder ins internet - was natürlich traffic gesehen, etwas unnötig ist in diesem Fall.

somit müsste der Standard Gateway unverändert beim User bleiben, ...

 

danke!

[blackbox 10]

Hi,

 

du brauchst "split tunneling" - dann gehen nur die in den Tunnel die in den Tunnel sollen.

 

Such mal hier im Forum danach - die Frage kommt regelmäßig wieder :-)