Sebi79 10 Geschrieben 30. September 2009 Melden Teilen Geschrieben 30. September 2009 Hallo zusammen, ich relativ neu auf dem Cisco Gebiet und hab folgendes Problem mit meiner ASA 5505. Also folgendes funtkioniert. Ich verbinde mich mit dem VPN Client mit der ASA (IPsec mit Zertifikatserver) und bekommen auch eine IP aus dem Pool oder von dem DHCP Server dahinter zugwiesen. Ich möchte aber die VPN Verbindungen in einem extra Netz bzw. VPN-Pool haben, damit das normale Netz nicht gestört wird. Ich komm also von Vlan 1 und möchte ins Vlan 2 mit einem extra Pool. Nat-T hab ich auch aktiviert und Split-Tunneling ist auch auch. Ich poste jetzt einfach mal die Config. Vielleicht könnt ihr mir da bitte weiterhelfen. ASA Version 7.2(3) .. names ! interface Vlan1 description outside nameif outside security-level 0 ip address 192.168.20.250 255.255.255.0 ! interface Vlan2 description inside nameif inside security-level 100 ip address 194.132.3.23 255.255.252.0 interface Ethernet0/0 ! interface Ethernet0/1 switchport access vlan 2 ! interface Ethernet0/2 switchport access vlan 2 shutdown ! interface Ethernet0/3 shutdown ..... passwd ********* encrypted ftp mode passive clock timezone CEST 1 clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 dns server-group DefaultDNS domain-name default.domain.invalid access-list Split_Tunnel_List standard permit 194.132.0.0 255.255.252.0 access-list inside extended permit ip any any pager lines 24 ................... ip local pool IpsecPool 194.132.4.1-194.132.4.32 mask 255.255.0.0 icmp unreachable rate-limit 1 burst-size 1 route inside 192.168.24.0 255.255.255.0 194.132.3.238 1 .............................. http server enable http 192.168.20.0 255.255.255.0 outside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set atron esp-aes-256 esp-sha-hmac crypto dynamic-map outside_dyn_map 10 set transform-set Sepp ............................................. crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto ca trustpoint scep ..................... ..................... lifetime 86400 crypto isakmp nat-traversal 20 telnet 192.168.20.0 255.255.254.0 outside telnet 194.132.0.0 255.255.0.0 inside telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd address 192.168.20.1-192.168.20.32 outside dhcpd enable outside ! dhcpd update dns override interface inside ! ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global ntp server 194.132.3.254 prefer tftp-server management 10.85.14.100 asarbl.cfg group-policy GroupPolicy1 internal group-policy GroupPolicy1 attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value Split_Tunnel_List default-domain none username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15 username cisco attributes group-lock value DefaultRAGroup tunnel-group DefaultRAGroup general-attributes address-pool IpsecPool authorization-server-group (outside) LOCAL default-group-policy GroupPolicy1 strip-realm tunnel-group DefaultRAGroup ipsec-attributes trust-point scep isakmp ikev1-user-authentication none prompt hostname context Für Hilfen wäre ich momentan echt sehr dankbar. Danke, Sebi Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 30. September 2009 Melden Teilen Geschrieben 30. September 2009 ich verstehe nicht was du meinst Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 30. September 2009 Melden Teilen Geschrieben 30. September 2009 Kannst du das mal etwas "bildlicher" darstellen - wo die "router" sind usw Zitieren Link zu diesem Kommentar
Sebi79 10 Geschrieben 1. Oktober 2009 Autor Melden Teilen Geschrieben 1. Oktober 2009 Ok geht klar ich mal schnell ein Bild und poste es dann Zitieren Link zu diesem Kommentar
Sebi79 10 Geschrieben 1. Oktober 2009 Autor Melden Teilen Geschrieben 1. Oktober 2009 Also wie schon gesagt der IPsec Aufbau geht einwandfrei. Ich kann aber noch von meinem VPN-Pool (194.132.4.x) auf das normale LAN (194.132.3.x) zugreifen, außer ich leg meinen VPN-Pool gleich in den Bereich. Dann gehts, aber das will ich ja nicht. Ich hoffe mal das Bild wird angezeigt und ihr könnt mir mit den ACLs weiterhelfen. Danke, Sebi79 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.