ASA VPN Problem mit ein und ausgang auf dem gleichen Interface

[Kweldulf 10]

Hallo allerseits,

 

wir haben hier folgendes Szenario:

 

1 ASA 5510 auf ihr wir auf dem Outside interface ein Site 2 Site VPN mit einem zweiten STandort verbunden.

Zusätzlich dazu kann man sich per VPN Client einwählen.

Vpn in das Lan hinter der ASA geht. Versucht man nun aber vom VPNCLient zuhause auf den zweiten Standort zuzugreifen kommt:

Built inbound TCP connection xxx for outside host/port to outside host/port

Teardown TCP connection xxx for outside host/port ti outside host/port duration xx bytes 0 syn timeout.

 

Ist so etwas überhaupt machbar das man auf dem gleichen Interface rein und raus geht?

 

MFG

 

Kwel

[Otaku19 33]

ich glaube, dazu muss same-security-traffic permit intra-interface aktiv sein

[Kweldulf 10]

Hallo otaku19,

 

das habe ich vergessen zu erwähnen das ist schon aktiviert.

same-security-traffic permit intra-interface aktiv

 

Vorher kommt ja die Meldung das kein Traffic über das gleiche Interface gehen kann.

[Wordo 11]

Mach mal nen capture drauf, es kommt halt keine Verbindung zustande.

[Otaku19 33]

damit sollte es eigentlich funktionieren, ACLs/NAT muss eben auch noch passen, fertig.

[Kweldulf 10]

Mh ok werde mir die ACLs und das NAT noch mal anschauen.

Evenentuell hab ich da was übersehen.

[Otaku19 33]

zum capturen müsste man halt encryption nullen :)

 

packet-tracer kannst du ja auch mal anwerfen, nur hat mir der schon bei nur einem involviertem VPN noch nie was sinnvolles ausgespuckt -.-

[Kweldulf 10]

Mh ok so eine Frage wenn das Client VPN auf dem Outside Interface ankommt und von dort auch wieder weg geht.

 

Benötige ich dann eine NAT 0 Regel für das Outside interface ?

Source dyn_pool destination lan zweiter standort?

 

 

Naja der Paket Tracer ausgeführt auf

Outside TCP Source dyn_pool destination lan zweiter standort

sagt mir das die Acceslist Outside das paket dropped.

bearbeitet 25. November 2010 von Kweldulf

[Kweldulf 10]

Habe eine Regel für Outside incoming erstellt vpn_pool adressen nach lan zweiter standort ip permit.

In der Outside Cryptomap ist eingetragen

 

acceslist outside_cryptomap extend permit ip dyn_pool zeiter_standort

 

Damit geht er im Paket Manager weiter bis VPN Lookup.

Dann sagt er acl drop flow is denied by configured rule.

 

 

Kann es hier auch sein das er die Cryptomap nicht aktualisiert?

[Otaku19 33]

kommt mir zur "schwammig" vor, grade das nat thema ist sehr versionsabhängig,das muss man sich sehr genau anschauen

[Kweldulf 10]

was brauchste den dafür um das genauer sagen zu können ?

[Kweldulf 10]

Ok hab alles wieder rückgängig gemacht..

 

Habe den Fehler gefunden.

Der Site 2 Site VPN hatte auf der Firewall am zweiten STandort in der Outside_Cryptomap keinen Eintrag für den dynamischen VPN Pool am Standort 1.

Daran hatte es gelegen..

 

Danke euch..

 

Wer ein ungefähres Beispiel möchte kann sich das hier mal anschauen.

Cisco Security Appliance Command Line Configuration Guide, Version 7.0 - Setting General VPN Parameters [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

 

Wobei das bei mir etwas abgewandelt ist.