отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

513
Просмотры
5
Полезный материал
5
Ответы
Denis Ivanov
Beginner

Asa5505. При расширении диапазона выдаваемых ip адресов VPN, не идет трафик через новые адреса.

Доброе утро. Подскажите. Понадобилось расширить диапазон выдаваемых ip адресов VPN сервером. Появилась проблема. Через новые ip адреса трафик не идет. А вот через те, что уже были в диапазоне, идет без проблем. Расширял путем удаления и создания диапазона:

no ip local pool easy-vpn-pool 192.168.3.71-192.168.3.80 mask 255.255.255.0

ip local pool easy-vpn-pool 192.168.3.60-192.168.3.80 mask 255.255.255.0

Проблемы у клиентов получившие адреса с 60 по 70 доступ.

 

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Так... У Вас пул адресов VPN пересекается с LAN адресами. Это нехорошо. Скажите, а точно все адреса до .70 имеют эту проблему? Потому что если это не ACL, то возможно это NAT. У Вас есть вот это

 

nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.3.64_27 NETWORK_OBJ_192.168.3.64_27 no-proxy-arp route-lookup
nat (outside,outside) source static any any destination static NETWORK_OBJ_192.168.3.64_27 NETWORK_OBJ_192.168.3.64_27 no-proxy-arp route-lookup

 

Объект ссылается на сеть 192.168.3.64/27

В эту подсеть не входят адреса .60-.63 Всё, что выше должно попадать. Вообще я бы рекомендовал изменить пул адресов для VPN и подогнать его под CIDR блок по размеру. Будет меньше мороки.

Просмотреть решение в исходном сообщении

5 ОТВЕТ 5
Sergey Lisitsin
Collaborator

Добрый день,

 

Это похоже на проблему с ACL. Поищите в базе объекты, совпадающие с префиксом старого пула. Посмотрите используются ли они в ACL. Если да, то замените их тоже на новые и посмотрите, что будет.

нет. с ACL. Диапазон более не где не фигурирует. 

Sergey Lisitsin
Collaborator

А других файрволов на пути трафика нет?

Диапазон выдаваемых ip адресов не пересекается с внутренними 100%. Еще добавлю, поднять VPN и через ipsec. Он использует тот же диапазон что и anyconnect. Проблема у клиентов та же самая. 

names
ip local pool easy-vpn-pool 192.168.3.71-192.168.3.80 mask 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
switchport access vlan 2
!
interface Ethernet0/7
switchport access vlan 2
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.3.25 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 213.xxxxxxxx
!
boot system disk0:/asa924-k8.bin
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network OBJ_NAT_LAN
subnet 192.168.3.0 255.255.255.0
object network NETWORK_OBJ_192.168.3.64_27
subnet 192.168.3.64 255.255.255.224
object network NETWORK_OBJ_192.168.3.0_24
subnet 192.168.3.0 255.255.255.0
access-list 120 standard permit 192.168.3.0 255.255.255.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-791.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.3.64_27 NETWORK_OBJ_192.168.3.64_27 no-proxy-arp route-lookup
nat (outside,outside) source static any any destination static NETWORK_OBJ_192.168.3.64_27 NETWORK_OBJ_192.168.3.64_27 no-proxy-arp route-lookup
nat (inside,outside) source static NETWORK_OBJ_192.168.3.0_24 NETWORK_OBJ_192.168.3.0_24 destination static schelkovo schelkovo no-proxy-arp route-lookup
!
object network obj_any
nat (inside,outside) dynamic interface
object network OBJ_NAT_LAN
nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 213.xxxxxx 1
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.3.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca trustpoint ASDM_TrustPoint0
enrollment self
subject-name CN=ASA5505
crl configure
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_0
enrollment self
fqdn none
subject-name CN=213.xxxxxx,CN=ASA5505
keypair ASDM_LAUNCHER
crl configure
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_1
enrollment self
fqdn none
subject-name CN=213.xxxxx,CN=ASA5505
keypair ASDM_LAUNCHER
crl configure
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_2
enrollment self
fqdn none
subject-name CN=213.xxxxx,CN=ASA5505
keypair ASDM_LAUNCHER
crl configure
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_3
enrollment self
fqdn none
subject-name CN=213.xxxxx,CN=ASA5505
keypair ASDM_LAUNCHER
crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_TrustPoint0
certificate 4487835e
308201cb 30820134 a0030201 02020444 87835e30 0d06092a 864886f7 0d010105
0500302a 3110300e 06035504 03130741 53413535 30353116 30140609 2a864886
f70d0109 02160741 53413535 3035301e 170d3230 30333331 31393235 30365a17
0d333030 33323931 39323530 365a302a 3110300e 06035504 03130741 53413535
30353116 30140609 2a864886 f70d0109 02160741 53413535 30353081 9f300d06
092a8648 86f70d01 01010500 03818d00 30818902 818100af 3442bcb8 c4e00495
228af5a8 66077e4f 2eac1d27 72cd594a 32e5a385 58289c4f 64824eb9 8ac5d7d7
874b353a ae8e4a4f ac88310d 006fc0fe 81544d66 c851528f 1787fbff 0d90ef98
46521836 344b9f2a 483e24f0 691f0fb4 a8a39db8 d720a149 4aff6d3f b371d35a
b39d874b 03b2021e 71319d4c 087de7e8 cc231404 82cbd302 03010001 300d0609
2a864886 f70d0101 05050003 81810069 37496ee4 3bfbb956 f5d68612 d89c3618
03dc2fd5 01ed9c7f cd2b9d3e c000121c e1756dfe d0b43844 3140633b 96450b14
148d9286 a2cb9f4e 60fbc8be b2f5be3d a1a4694c d46277bc b55d6b22 e34e1aba
ca5ecfc0 09efa5ad e869b4bf b1c42ce8 b1ea83dc a0c83a13 9467e5bd 7c545188
49161ed1 7958b90c 260d3b1e 5cad52
quit
crypto ca certificate chain ASDM_Launcher_Access_TrustPoint_0
certificate 4587835e
308201cb 30820134 a0030201 02020445 87835e30 0d06092a 864886f7 0d010105
0500302a 3110300e 06035504 03130741 53413535 30353116 30140603 55040313
0d323133 2e38352e 34302e31 3130301e 170d3230 30333331 31393335 34355a17
0d333030 33323931 39333534 355a302a 3110300e 06035504 03130741 53413535
quit
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint ASDM_TrustPoint0
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 40
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 70
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 100
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 110
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 130
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 140
authentication rsa-sig
encryption des
hash sha
group 2
lifetime 86400
ssh stricthostkeycheck
ssh 192.168.3.0 255.255.255.0 inside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl trust-point ASDM_Launcher_Access_TrustPoint_3 outside
ssl trust-point ASDM_TrustPoint0 inside
ssl trust-point ASDM_Launcher_Access_TrustPoint_3 outside vpnlb-ip
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.7.04056-webdeploy-k9.pkg 1
anyconnect profiles anyconnect_client_profile disk0:/anyconnect_client_profile.xml
anyconnect enable
tunnel-group-list enable
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol ikev2 ssl-clientless
group-policy easyVPN_group internal
group-policy easyVPN_group attributes
wins-server value 192.168.3.5
dns-server value 192.168.3.5
vpn-tunnel-protocol ikev1
password-storage enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value 120
default-domain value orto.ru
user-authentication-idle-timeout 240
vpn-tunnel-protocol ikev1 ikev2
group-policy GroupPolicy_anyconnect internal
group-policy GroupPolicy_anyconnect attributes
wins-server value 192.168.3.5
dns-server value 192.168.3.5
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value 120
webvpn
anyconnect profiles value anyconnect_client_profile type user
username xxxxxxx password xxxxxxxxx encrypted
username easyvpn attributes
vpn-group-policy easyVPN_group
username xxxx password xxxxxxx encrypted
tunnel-group easyVPN_group type remote-access
tunnel-group easyVPN_group general-attributes
address-pool easy-vpn-pool
default-group-policy easyVPN_group
tunnel-group easyVPN_group ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group anyconnect type remote-access
tunnel-group anyconnect general-attributes
address-pool easy-vpn-pool
default-group-policy GroupPolicy_anyconnect
tunnel-group anyconnect webvpn-attributes
group-alias anyconnect enable
!
!
prompt hostname context
call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination address http https://tools.cisco.com/its/service/oddce/services/DD
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:da545fdcf1dad92f6096e2577e37141c
: end

Так... У Вас пул адресов VPN пересекается с LAN адресами. Это нехорошо. Скажите, а точно все адреса до .70 имеют эту проблему? Потому что если это не ACL, то возможно это NAT. У Вас есть вот это

 

nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.3.64_27 NETWORK_OBJ_192.168.3.64_27 no-proxy-arp route-lookup
nat (outside,outside) source static any any destination static NETWORK_OBJ_192.168.3.64_27 NETWORK_OBJ_192.168.3.64_27 no-proxy-arp route-lookup

 

Объект ссылается на сеть 192.168.3.64/27

В эту подсеть не входят адреса .60-.63 Всё, что выше должно попадать. Вообще я бы рекомендовал изменить пул адресов для VPN и подогнать его под CIDR блок по размеру. Будет меньше мороки.

Просмотреть решение в исходном сообщении

Создать
Выразить признание своим коллегам
Опросы
Какой контент Вы хотели бы чаще видеть в Сообществе?
Content for Community-Ad

Сообщество Cisco

Помощь по сообществу