отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

587
Просмотры
0
Полезный материал
6
Ответы
Denis Ivanov
Beginner

5505 Не идет трафик через anyconnect.

Добрый день. Поднял на 5505 anyconnect. Но после подключения через anyconnect у пользователей не идет трафик через впн. После подключения пропадает интернет. Хотя Split настраивал. Посмотрите, где ошибся?

Решил проблему.

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

В AnyConnect клиенте в настройках выключите Captive Portal Detection

--------------------------------------------------------------------------

Helping seriously ill children, all together. All information about this, is posted on my blog

Просмотреть решение в исходном сообщении

6 ОТВЕТ 6
Oleg Volkov
Contributor

Добрый день.

конечно посмотрим , кидайте show run group-policy и sh tunnel-group

--------------------------------------------------------------------------

Helping seriously ill children, all together. All information about this, is posted on my blog

Такая проблема. Вчера настроил ASA5505. Поднял службы anyconnect vpn и IPsec vpn. Все заработало. Сегодня утром пробую подключится через anyconnect - выдает сообщение что у меня нет интернета. Но я пробовал с двух разных устройств, с разными провайдерами: 

1.JPG

Доступ через ssh, ASDM и через https для скачивания клиента есть. Через ipsec тоже дает подключится.

enable password HhwVL3snhT6SHXZx encrypted
names
ip local pool pool-vpn 192.168.1.100-192.168.1.130 mask 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
switchport access vlan 2
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group CityLink
ip address pppoe setroute
!
ftp mode passive
dns server-group DefaultDNS
domain-name portal-p
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network NETWORK_OBJ_192.168.1.0_24
subnet 192.168.1.0 255.255.255.0
access-list SPLIT-ACL standard permit 192.168.1.0 255.255.255.0
access-list AnyConnect_Client_Local_Print extended deny ip any4 any4
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq lpd
access-list AnyConnect_Client_Local_Print remark IPP: Internet Printing Protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 631
access-list AnyConnect_Client_Local_Print remark Windows' printing port
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 9100
access-list AnyConnect_Client_Local_Print remark mDNS: multicast DNS protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.251 eq 5353
access-list AnyConnect_Client_Local_Print remark LLMNR: Link Local Multicast Name Resolution protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.252 eq 5355
access-list AnyConnect_Client_Local_Print remark TCP/NetBIOS protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 137
access-list AnyConnect_Client_Local_Print extended permit udp any4 any4 eq netbios-ns
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.1.0_24 NETWORK_OBJ_192.168.1.0_24 no-proxy-arp route-lookup
!
object network obj_any
nat (inside,outside) dynamic interface
timeout xlate 3:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 109.*** 255.255.255.254 outside
http 213.*** 255.255.255.254 outside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 20 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 20 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca trustpoint ASDM_TrustPoint0
enrollment self
subject-name CN=portalp
crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_TrustPoint0
certificate 2884955f
quit
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint ASDM_TrustPoint0
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 40
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 70
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 100
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 110
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 130
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 140
authentication rsa-sig
encryption des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh stricthostkeycheck
ssh 192.168.1.0 255.255.255.0 inside
ssh 213.**** 255.255.255.254 outside
ssh 84.****** 255.255.255.254 outside
ssh timeout 20
ssh key-exchange group dh-group1-sha1
console timeout 0
vpdn group CityLink request dialout pppoe
vpdn group CityLink localname 1*****
vpdn group CityLink ppp authentication mschap
vpdn username 1***** password *****

dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.90 inside
dhcpd dns 192.168.1.1 interface inside
dhcpd domain portal-p interface inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl trust-point ASDM_TrustPoint0 inside
ssl trust-point ASDM_TrustPoint0 outside
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.7.04056-webdeploy-k9.pkg 1
anyconnect profiles Anyconnect_VPN_client_profile disk0:/Anyconnect_VPN_client_profile.xml
anyconnect enable
tunnel-group-list enable
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol ikev2 ssl-clientless
group-policy easyVPN internal
group-policy easyVPN attributes
dns-server value 192.168.1.1
vpn-tunnel-protocol ikev1
password-storage enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-ACL
default-domain value portal-p
user-authentication-idle-timeout 360
group-policy GroupPolicy_Anyconnect_VPN internal
group-policy GroupPolicy_Anyconnect_VPN attributes
wins-server none
dns-server value 192.168.1.1
vpn-tunnel-protocol ikev2 ssl-client
password-storage enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-ACL
default-domain value portal-p
split-tunnel-all-dns disable
webvpn
anyconnect profiles value Anyconnect_VPN_client_profile type user
username denis password z3sYAG28oY2RFkq2 encrypted privilege 15
username ivleva password /Zqu6Jow9OUxT.Kp encrypted
tunnel-group Anyconnect_VPN type remote-access
tunnel-group Anyconnect_VPN general-attributes
address-pool pool-vpn
default-group-policy GroupPolicy_Anyconnect_VPN
tunnel-group Anyconnect_VPN webvpn-attributes
group-alias Anyconnect_VPN enable
tunnel-group easyVPN type remote-access
tunnel-group easyVPN general-attributes
address-pool pool-vpn
default-group-policy easyVPN
tunnel-group easyVPN ipsec-attributes
ikev1 pre-shared-key *****
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:c04ad1e70fbf6e098d76d3d5a21222c7
: end

В AnyConnect клиенте в настройках выключите Captive Portal Detection

--------------------------------------------------------------------------

Helping seriously ill children, all together. All information about this, is posted on my blog

Просмотреть решение в исходном сообщении

Да. После по IP стал пускать. Но как перезапускаю клиент anyconntct он мне вместо ip показывает имя хоста (asa5505). По нему  подключится не удается. Нужно вручную вводить ip. Это можно исправить?

1.JPG

 

В в файле- профиле Anyconnect_VPN_client_profile.xml

нашел такую строку:

2.JPG

 Он этот неправильный IP подгружает с сервера? 

Добавлю. Видимо действительно подгружает, т.к. после смены ip в Anyconnect_VPN_client_profile.xml на правильный и переподключении, к маршрутизатору, он опять поменялся на неправильный.   Не могу найти, в каком месте это прописано?

 

Все. Нашел.

Я так понял разобрались?

Если что секция webvpn там профиль и еще в групповой политике профиль.

--------------------------------------------------------------------------

Helping seriously ill children, all together. All information about this, is posted on my blog

Да. Спасибо. 

Создать
Выразить признание своим коллегам
Опросы
Какой контент Вы хотели бы чаще видеть в Сообществе?
Content for Community-Ad

Сообщество Помогает Сообществу

Помощь по сообществу