hegl 10 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Hallo, ich schicke bis jetzt bei einem bestehenden Tunnel alles in den Tunnel zur Zentrale. Jetzt möchte ich ein Netz davon ausnehmen und dieses sofort am Remote-Standort ins Internet schleusen. Wie gehe ich hier am besten vor? Zitieren Link zu diesem Kommentar
Franz2 10 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Falls der Tunnel zwischen 2 ASA's gemacht wird: PIX/ASA 7.x: Simple PIX-to-PIX VPN Tunnel Configuration Example - Cisco Systems Falls es sich um einen VPN Client handelt: ASA/PIX: Allow Split Tunneling for VPN Clients on the ASA Configuration Example - Cisco Systems lg franz Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 1. Juli 2009 Autor Melden Teilen Geschrieben 1. Juli 2009 Danke, dass ist aber leider nicht die Antwort auf meine Frage - der Tunnel läuft ja bereits. Die Frage geht dahin: wie schicke ich alles, bis auf ein Netz, in den Tunnel? Vor allem: geht das, ohne den produktiven Betrieb zu stören? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 imho nein, encryptiondomains haben direkten Einfluss auf die SAs. Du musst also eine ACL schreiben und in der crypto map matchen: access-list VPN deny ip "lokalLAN" "Ausnahmeziel" access-list VPN permit ip any any crypto map TUNNEL_ZUR_ZENTRALE 10 match address VPN wobei ich mich grade frage ob das mit dem any any dann überhaupt hinhaut, bzw ob die zentrale dann genauer spezifizieren darf was in der Aussenstelle ist. ip any any ist aber so und so nicht zu empfehlen,vermut emal du hast da eh schon irgendwas genaueres drin Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Hi, ich denke eher - es wird so nicht klappen - sondern du musst definieren was rein soll - den im Tunnel wir ja beim Aufbau die Einstellungen verglichen. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 1. Juli 2009 Autor Melden Teilen Geschrieben 1. Juli 2009 Hi, ich denke eher - es wird so nicht klappen - sondern du musst definieren was rein soll - den im Tunnel wir ja beim Aufbau die Einstellungen verglichen. Jepp, kann ich bestätigen. Habe gerade mal versucht das Netz von den Regeln auszunehmen mit dem Ergebnis, dass der Tunnel nicht mehr hoch kommt. Ziel soll eigentlich sein, dass auch der Internettraffic über die Zentrale und damit über den Proxyserver geschleust wird (was auch soweit funktioniert). Hier gibts aber ein dickes Problem, dass ein gewünschter Citrixzugriff nicht so funktioniert, wie es sein sollte. Deshalb die Überlegung von der Netzwerkseite, dieses Netz erst gar nicht in den Tunnel zu schicken. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 wie war die ACL denn bislang ? was hast du jetzt eingetragen ? so ein gewünschtes "split-tunneling excludespecified" kenn ich nur bei IPSEC-RA, dneke nicht das ihr darauf umsteigen wollt. Vor allem weil der Tunnel dann nur von der Clientseite initiert werden kann falls er mal weg ist Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Einzige Möglichkeit die ich denke ist - zweite Firewall und im Routing die IP vorher abgreifen und umrouten. Denke sonst wird das nix. Oder Proxy in die Zentrale und über Proxy surfen - dann könnte es auch klappen Zitieren Link zu diesem Kommentar
Franz2 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Poste bitte mal deine config. VPN ACL nat und der crypto Teil sollten reichen. Natürlich ohne offizeller ip und pwd. Das der Tunnel nicht funktioniert hat lag vermutlich daran das die VPN ACL auf beiden Seiten gleich sein müssen. Probier bitte ob du in der nonat und vpn ACL ein deny für das Netz das nicht genatted werden soll konfigurieren kannst. lg Franz lg Franz Zitieren Link zu diesem Kommentar
Franz2 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Habe noch was gefunden. PIX/ASA 7.x and Later: VPN Filter (Permit Specific Port or Protocol) Configuration Example for L2L and Remote Access - Cisco Systems lg franz Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 2. Juli 2009 Autor Melden Teilen Geschrieben 2. Juli 2009 Problem ist gelöst, ohne dass ich die ASA anpassen musste. Zur Erklärung: Von der Remote-Site läuft alles in den Tunnel zu unserer Zentrale. Die User müssen für den Internetzugriff den Proxy in der Zentrale konfiguriert haben; und hier lag der Hund begraben. Der Proxy verrichtet seine Arbei nur für http, ftp, Secure und Socks. Ich bin aber davon ausgegangen, wenn man im IE die Option "alle Protokolle anhakt" gilt dies auch für alle, aber tasächlich gilt das nur für die vier oben genannten. Heisst also, dass ich mit anderen Protokollen (z.B. ICA = tcp/1494) direkt vom Client die Verbindung aufbaue. Da ich aber mit privaten IP´s und ohne NAT arbeite, konnte dies nicht funktionieren. Also aus dem Proxy noch schnell ein Socks-Proxy gemacht und die Kiste läuft :):):) @ Otaku19: Jepp, hatte was gesucht wie split-tunneling. Aber ich kann halt nur sagen: das und das geht in den Tunnel und alles andere geht direkt raus. Umgekehrt funktioniert es wohl nicht. @ Franz2: Jepp, hatte das entsprechende Netz mit einem deny konfiguriert, und dann kommt der Tunnel nicht mehr hoch. Also auch in der Zentrale das Gleiche gemacht, Tunnel wieder ok, aber trotzdem kein Erfolg. Danke für Eure Unterstützung :jau::jau::jau: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.