Cisco - Remote Access VPN & Site-to-Site VPN

[alterverwalter 10]

Servus zusammen,

ich habe einen statische VPN Tunnel zwischen einer ASA 5505 und einer ASA 5515. Jetzt würde ich gerne einen Remote Access VPN auf die 5505 einrichten, über welchen die VPN Clients auch Zugrif auf Recourcen hinter der 5515 haben.

Der statische Tunnel ist up and running, ich kann mich auch via RA VPN auf die 5505 einwählen und dort auf die Recourcen zugreifen.

Ein Zugriff auf die Recourcen hinter der 5515 ist nicht möglich.

Was mache ich falsch, hat jemand einen kleinen Tip für mich?

 

die Config habe ich angehängt, wären sonst zu viele Zeichen gewesen.

 

Danke schon mal für die Antworten.

 

Beste Grüße

 

der Verwalter

running_config.txt

[Wordo 11]

Hast du die Netze in der VPN Config angepasst? Stimmt split-tunneling? Korrektes NAT?

[Otaku19 33]

same-security-traffic permit intra-interface konfiguriert ?

[Wordo 11]

same-security-traffic permit intra-interface konfiguriert ?

 

Die Option hab ich im ASDM nicht gefunden :D

[blackbox 10]

@Wordo - gibt es da aber auch :-) :-)

[Otaku19 33]

is bei den interfaces unten 2 checkboxen :) nur das da verständlicheres gefasel als im CLI Befehl steht

[alterverwalter 10]

Hallo zusammen, bin gerade beim Kunden und werde das heute Nachmittag alles mal überprüfen. Wollte mich nur mal schnell für die schnellen und konstruktiven Antworten bedanken.

 

Beste Grüße

 

der Verwalter

[alterverwalter 10]

So jetzt aber...

 

Mit Split-Tunneling habe ich mich bislang noch nicht auseinandergesetzt.

Wurde demzufolge auch noch nicht konfiguriert.

Wie muss ich hier vorgehen? Oder wo kann ich mich über Split-Tunneling informieren?

Den same-security-traffic-Befehl habe ich schon auf der Cisco-Seite gefunden aber bislang leider erfolglos getestet. Scheint ja ohne ST auch nicht möglich zu sein oder?

 

Beste Grüße

 

der Verwalter

[Otaku19 33]

der befehl hat mit split-tunnel nix zu tun, selbiger wird in der group-policy konfiguriert. Da bei dir nix dazu steht ist der default wert drin: no split-tunnel. Somit müsste der gesamte traffic vom remote client zur ASA gehen

[alterverwalter 10]

Servus,

 

OK, ich habe nun lt. einer Cisco Anleitung split tunneling konfiguriert. Voller Vorfreude habe ich mich dann an meinem Test PC via Remote VPN eingewählt und versucht via Internet ins Corporate Netz zu kommen - war ein Satz mit X.

Den same-security-traffic-Befehl habe ich auch ausgeführt, aber wieder nix.

In den Syslog Messages kommen auch keine Meldungen, die auf ein Problem hindeuten würden.

Vieleicht hat ja noch jemand eine Idee.

 

Trotzdem schon mal vielen Dank und ein schönes Wochenende.

 

der Verwalter

[Wordo 11]

Waehl dich mim Client ein und mach ne DOS Box auf und gib "route print" ein.

Das dann posten ...

[alterverwalter 10]

Hallo Wordo,

 

kann ich gerade nicht machen, habe aber eine permanente Route in mein Zielnetz über die ASA eingetragen:

 

RA PC ASA ASA Zielnetz

172.16.5.1 172.16.5.254 öfftl. öfftl. 192.168.1.x 192.168.1.x

 

Ich hab mal hier auf die Schnelle gezeigt wie es aussehen soll, hoffe, er behält die Formatierung bei. Hab folgendes gemacht: route add -p 192.168.1.0 mask u.s.w. 172.16.5.1

 

wobei der RA = Remote Access PC die IP von der ASA bekommt.

 

Hab von Cisco nicht so die große Ahnung. Aber schon mal gut, daß hier keine ****en Kommentare kommen.

 

Danke und bis neulich

 

der Verwalter

[blackbox 10]

Hallo,

 

statische Routen bringen dir nichts - da sie auf den VPN CLient geroutet werden müssen - und das macht er nur wenn du dich eingewählt hast.