Onderwerp: Cisco ASA 5505 IPsec VPN: kan interne hosts niet bereiken

Beste,

Ik ben al een paar avonden aan het stoeien met een Cisco ASA 5505 welke ik wil gaan inzetten in het DC voor Remote Access VPN. Via deze constructie wil ik dan het achterliggende 10.0.0.0 netwerk bereiken.

De configuratie heb ik nu zover dat IPsec is ingesteld (via CLI), er een user is aangemaakt en extern kan connecten via de Cisco VPN Client.

Ik krijg het alleen niet voor elkaar om over de VPN tunnel een intern adres (in het 10.0.0.0/24 netwerk) of de ASA zelf te bereiken. Pingen werkt niet, maar ook bijvoorbeeld het openen van een SSH connectie wil niet lukken.

Gegoogled naar dit probleem heb ik al, je vind dan verscheidene topics waarin wordt uitgelegd dat er een NONAT ACL aangemaakt moet worden, dit heb ik geprobeerd maar geeft nog geen resultaat.

Ik heb wel een split-tunnel configuratie ingesteld zodat mijn internet verkeer niet over de tunnel gaat, puur het verkeer dat naar 10.0.0.0/24 gaat.

Hieronder een show config van de ASA;

fw01# sh conf
: Saved
: Written by enable_15 at 14:12:16.947 UTC Fri Aug 2 2013
!
ASA Version 9.0(1)
!
hostname fw01
domain-name xxxxxxx.nl
enable password NlZLXc1wxBttQ2dn encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
ip local pool VPNPOOL01 10.0.100.1-10.0.100.254 mask 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 10.0.0.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 213.207.89.2 255.255.255.0
!
ftp mode passive
dns server-group DefaultDNS
domain-name xxxxxxx.nl
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network vpn-network
subnet 10.0.100.0 255.255.255.0
object network inside-network
subnet 10.0.0.0 255.255.255.0
access-list SPLITTUN_VPN01 extended permit ip 10.0.0.0 255.255.255.0 10.0.100.0
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (any,any) source static vpn-network vpn-network destination static inside-nk
!
object network obj_any
nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 213.207.89.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 10.0.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map outside_dyn_map 20 set ikev1 transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto ca trustpool policy
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 5
console timeout 0

dhcpd auto_config outside
!
dhcpd address 10.0.0.190-10.0.0.199 inside
dhcpd dns 8.8.8.8 8.8.4.4 interface inside
dhcpd lease 86400 interface inside
dhcpd domain xxxxxxx.nl interface inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 194.109.20.18 source outside prefer
group-policy VPN01 internal
group-policy VPN01 attributes
dns-server value 8.8.8.8 8.8.4.4
vpn-filter value SPLITTUN_VPN01
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLITTUN_VPN01
default-domain value xxxxxxx.lan
split-dns value xxxxxxx.lan
address-pools value VPNPOOL01
username kbentlage password Tp11m/v3gmcdQGsh encrypted
tunnel-group VPN01 type remote-access
tunnel-group VPN01 general-attributes
address-pool VPNPOOL01
default-group-policy VPN01
tunnel-group VPN01 ipsec-attributes
ikev1 pre-shared-key *****
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:01240e56a878dc6372b7f188a6a6e4c6

Problem solved, thanks T.Verhaeg.

Er bestond geen route op de interne hosts om het verkeer terug te routen naar de ASA, in plaats daarvan werdt het verkeer doorgestuurd naar de default gateway (in dit geval die van het datacenter) waar het uiteindelijk gedropt werd.

Je kan altijd in de ASDM monitor kijken wat er fout gaat. Waarschijnlijk kreeg je daar de melding: 'No route to host...'.

Nee, die stond er (uiteraard) niet. Het was de host achter de ASA die het VPN traffic niet terug kon routen naar het VPN client subnet.

duidelijk.. lag je berichtje even te snel ;p zie nu idd interne host staan.. Mooi dat het is opgelost

Oorspronkelijk geplaatst door winc-hosting

duidelijk.. lag je berichtje even te snel ;p zie nu idd interne host staan.. Mooi dat het is opgelost

Tja dat heb je als je alleen maar post om postcount naar boven te krijgen.