отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
2275
Просмотры
5
Полезный материал
15
Ответы
ntkernel
Beginner

IPSec VPN проблемы с NAT

Привет, сразу к делу! Настроил на ASA5505 IPSec VPN сервер. Создал крипто-карту итд итп. Создал обьект с подсетью:

object network OBJ-EZVPN-SUBNET
 subnet 10.254.254.0 255.255.255.0

Создал DHCP пул (10.254.254.10 - 10.254.254.50)

И прописал NAT правило:

nat (LOCAL,outside) source static any any destination static OBJ-EZVPN-SUBNET OBJ-EZVPN-SUBNET no-proxy-arp route-lookup

(если что, LOCAL - внутренняя сетка (100.100.200.0)

Вообщем, что со сплит туннелем, что без, трафик не идет через NAT.  Вот вывод с packet-tracer icmp...

Phase: 9
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (LOCAL,outside) source static any any no-proxy-arp
Additional Information:
 Forward Flow based lookup yields rule:
 out id=0xad06f9e8, priority=6, domain=nat-reverse, deny=false
        hits=1414, user_data=0xad06ec98, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
        input_ifc=outside, output_ifc=LOCAL

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: LOCAL
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Просьба обьяснить что я делаю не так 0_о

15 ОТВЕТ 15
Leonid Voronkin
VIP Collaborator

Вы не весь вывод packet-tracer показали. Что в других фазах? Где-то должна быть фаза с Result: DROP

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Вот весь трейсинг, но я почему то не наблюдаю где DROP

 

MAIN-ASA1# packet-tracer input outside icmp 10.254.254.10 4 1 100.100.200.250

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (LOCAL,outside) source static any any no-proxy-arp
Additional Information:
NAT divert to egress interface LOCAL
Untranslate 100.100.200.250/0 to 100.100.200.250/0

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group global_access global
access-list global_access extended permit ip any any
Additional Information:

Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (LOCAL,outside) source static any any no-proxy-arp
Additional Information:

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: CP-PUNT
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map inspection_default
 match default-inspection-traffic
policy-map global_policy
 class inspection_default
  inspect icmp
service-policy global_policy global
Additional Information:

Phase: 8
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (LOCAL,outside) source static any any no-proxy-arp
Additional Information:

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: LOCAL
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

З.Ы. Смущает это:

NAT divert to egress interface LOCAL
Untranslate 100.100.200.250/0 to 100.100.200.250/0

Очень интересно. Давайте конфиг посмотрим

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Вот конфиг, но что самое странное, что с АниКоннектом я легко справился

 

MAIN-ASA1# sh run
: Saved
:
: Serial Number: JMX1232Z29A
: Hardware:   ASA5505, 1024 MB RAM, CPU Geode 500 MHz
:
ASA Version 9.2(4)10
!
hostname MAIN-ASA1
domain-name ydk.local
names
ip local pool tst 10.254.254.10-10.254.254.20 mask 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
 switchport access vlan 3
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
 nameif inside
 security-level 100
 no ip address
!
interface Vlan2
 description WAN
 nameif outside
 security-level 50
 ip address 100.100.100.15 255.255.255.0
!
interface Vlan3
 nameif LOCAL
 security-level 100
 ip address 100.100.200.230 255.255.255.0
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup outside
dns domain-lookup LOCAL
dns server-group DefaultDNS
 name-server 100.100.200.250
 name-server 100.100.100.1
 domain-name ydk.local
same-security-traffic permit inter-interface
object network LocalNet
 subnet 100.100.200.0 255.255.255.0
object network OBJ-EZVPN-SUBNET
 subnet 10.254.254.0 255.255.255.0
object-group user DM_INLINE_USER_1
 user LOCAL\vpnuser
object-group protocol DM_INLINE_PROTOCOL_1
 protocol-object ip
 protocol-object icmp
access-list LAN_Access standard permit 100.100.200.0 255.255.255.0
access-list LAN_Access standard permit 100.100.100.0 255.255.255.0
access-list outside_cryptomap_65535.1 extended permit ip any4 any4
access-list outside_access_in extended permit object-group DM_INLINE_PROTOCOL_1 100.100.200.0 255.255.255.0 100.100.200.0 255.255.255.0
access-list outside_access_in extended permit ip interface outside interface LOCAL
access-list outside_access_in extended permit ip interface outside any
access-list AnyConnect_Client_Local_Print remark IPP: Internet Printing Protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 631
access-list AnyConnect_Client_Local_Print remark Windows' printing port
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 9100
access-list AnyConnect_Client_Local_Print remark mDNS: multicast DNS protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.251 eq 5353
access-list AnyConnect_Client_Local_Print remark LLMNR: Link Local Multicast Name Resolution protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.252 eq 5355
access-list AnyConnect_Client_Local_Print remark TCP/NetBIOS protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 137
access-list LOCAL_access_in extended permit ip 100.100.200.0 255.255.255.0 100.100.200.0 255.255.255.0
access-list global_access extended permit ip any any
access-list SPLIT-TUNNEL standard permit 100.100.200.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu LOCAL 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (LOCAL,outside) source static any any no-proxy-arp
nat (outside,LOCAL) source static any any unidirectional no-proxy-arp
nat (LOCAL,outside) source static any any destination static OBJ-EZVPN-SUBNET OBJ-EZVPN-SUBNET no-proxy-arp route-lookup
access-group outside_access_in in interface outside
access-group LOCAL_access_in in interface LOCAL
access-group global_access global
route outside 0.0.0.0 0.0.0.0 100.100.100.1 1
route LOCAL 100.100.200.0 255.255.255.0 100.100.200.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
aaa-server REMOTE protocol radius
aaa-server REMOTE (outside) host 100.100.100.14
 key *****
no user-identity enable
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authorization exec LOCAL auto-enable
http server enable
http 0.0.0.0 0.0.0.0 LOCAL
no snmp-server location
no snmp-server contact
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set 3DES_SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set mySET esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set VPNTRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set test_s2s esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set TS-IPSEC-VPN esp-3des esp-sha-hmac
crypto ipsec ikev2 ipsec-proposal DES
 protocol esp encryption des
 protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
 protocol esp encryption 3des
 protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
 protocol esp encryption aes
 protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
 protocol esp encryption aes-192
 protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
 protocol esp encryption aes-256
 protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map RVPN 10 set ikev1 transform-set 3DES_SHA
crypto dynamic-map RVPN 10 set reverse-route
crypto dynamic-map myDYN-MAP 5 set ikev1 transform-set mySET
crypto dynamic-map outside_dyn_map 1 set pfs group1
crypto dynamic-map outside_dyn_map 1 set ikev1 transform-set test_s2s
crypto dynamic-map outside_dyn_map 1 set reverse-route
crypto dynamic-map DYNAMIC-CRYPTO-MAP 65535 set pfs
crypto dynamic-map DYNAMIC-CRYPTO-MAP 65535 set ikev1 transform-set TS-IPSEC-VPN
crypto dynamic-map DYNAMIC-CRYPTO-MAP 65535 set reverse-route
crypto map TEST_MAP 65535 ipsec-isakmp dynamic RVPN
crypto map myMAP 60 ipsec-isakmp dynamic myDYN-MAP
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map CRYPTO-MAP 65535 ipsec-isakmp dynamic DYNAMIC-CRYPTO-MAP
crypto map CRYPTO-MAP interface outside
crypto ca trustpoint ASDM_TrustPoint0
 enrollment self
 subject-name CN=MAIN-ASA1
 proxy-ldc-issuer
 crl configure
crypto ca trustpoint ASDM_TrustPoint2
 enrollment self
 keypair ASDM_TrustPoint2
 crl configure
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_0
 enrollment self
 fqdn none
 subject-name CN=100.100.200.230,CN=MAIN-ASA1
 keypair ASDM_LAUNCHER
 crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_TrustPoint2
 certificate 456df1672ad161a74c491853f60a1462
    3082031e 30820206 a0030201 02021045 6df1672a d161a74c 491853f6 0a146230
    0d06092a 864886f7 0d01010b 05003016 31143012 06035504 030c0b78 66616177
    2e737061 6365301e 170d3231 30353237 32323036 31355a17 0d323230 35323732
    32323631 355a3016 31143012 06035504 030c0b78 66616177 2e737061 63653082
    0122300d 06092a86 4886f70d 01010105 00038201 0f003082 010a0282 010100ef
    882d98e5 3bb99e15 d25cd640 a43bd5cf 7674e5c8 d433dec9 3767de68 2afd8e7a
    00a101b7 eb17165a d332c976 f72a4174 862f95c9 0dd3f9f8 df4ffc62 0b2ee41c
    d80a4272 c736fec9 ebfc743b 5f6c2153 2818b33d 86dc0e82 1a085203 e9f15a94
    e1b228ae bdb2ab47 6ed8626f fdf9518b 76020a57 20fc8872 31d7c505 aa17a664
    58b0ad5b 996a183f fb96aa28 28eeab0c 5a598845 6db001ad f5a19ec6 97108641
    906de9db df032686 104398d1 c3591431 fbb0f730 1fc7075a a8fa6f42 08067337
    8ad0c11b 070776f5 b950cf64 7a1eb549 17eae038 b0be5510 39d2ed0b 27807ffb
    e101f503 3879d852 00a3826a 11d29b28 dc7d1f9a dbedaeff 8d657f7a d7fbad02
    03010001 a3683066 300e0603 551d0f01 01ff0404 030205a0 301d0603 551d2504
    16301406 082b0601 05050703 0206082b 06010505 07030130 16060355 1d11040f
    300d820b 78666161 772e7370 61636530 1d060355 1d0e0416 04143d03 71b44774
    daf68085 e6a2e029 a788dc2a 22d7300d 06092a86 4886f70d 01010b05 00038201
    0100648c 69746a2b f7213906 71b963f9 bac7aec5 6965356f 2b7c8055 78ef260f
    7dcd3d00 4af1c4f9 9a1d840b b9bdc0cb b52aa505 590761bb a1702f87 8d1057a3
    49c0b3ed fa3b98b7 b3e0b49e 25f5bbb3 b20b3634 089fd4b4 47f3ffb5 c1451813
    243e014e e90505ed b961e416 012489d4 a53f239c 1673ab14 a1687ec3 acd50311
    0b8a9711 6c9319d4 320c1d8d 3acf539d 68fe607c 3300ea3f 78a1a963 0c0a81c3
    3b1d7039 5841b3ae 8ec928d0 16c24215 873af6da f00a0c77 8d5eca7d 55dfee53
    65e9cee5 648353b0 b0074af7 28e8fed2 fe369254 fc14b541 0aa65367 6128370b
    1d55d99c 3af03647 a50cd16e 629e3fd4 6b69c20f aeebae99 217ac493 dbc4a862
    0bed
  quit
crypto ca certificate chain ASDM_Launcher_Access_TrustPoint_0
 certificate 440ea560
    308201d3 3082013c a0030201 02020444 0ea56030 0d06092a 864886f7 0d010105
    0500302e 31123010 06035504 0313094d 41494e2d 41534131 31183016 06035504
    03130f31 30302e31 30302e32 30302e32 3330301e 170d3231 30353237 32323231
    34385a17 0d333130 35323532 32323134 385a302e 31123010 06035504 0313094d
    41494e2d 41534131 31183016 06035504 03130f31 30302e31 30302e32 30302e32
    33303081 9f300d06 092a8648 86f70d01 01010500 03818d00 30818902 818100ea
    390438e6 d1ee0352 d16d4a9f 822cdccc eff312e9 53eba7a8 21d315c8 70e40254
    473ef95b 5814b2ad 5a1e7393 86526cd2 74907fe1 453f56be 83c5bda5 93a75ce6
    75ea05dc 8ed0666b 2cc3c679 2e274a7e 393b10fb 79d1f86a c4d69c9f 0ddd01ee
    44c65bd0 9d494641 fc8f1fe5 4e446945 1b84690d d4e7ac29 2af3e221 f38e2502
    03010001 300d0609 2a864886 f70d0101 05050003 81810083 d5b182eb 640b4f2d
    88ef6d9c 95937f4a 423fadbc 249460e3 b3541fd1 2d061ab1 36dc6c3e a5f93a3d
    7316ebda 9a5ceb19 4a5e3bfa 1af01cf3 42ba7ef1 ce3e4c44 30c8b31c e63782cf
    6c717660 c9a269a4 42b28333 a5126cef 6e9b171a f5cd02cb d343d334 c7e6015c
    5bd0f64c 3c17c8af b5e5d165 eebad7c1 fd63f883 bd844e
  quit
crypto isakmp identity address
no crypto isakmp nat-traversal
crypto ikev2 enable outside
crypto ikev2 remote-access trustpoint ASDM_TrustPoint2
crypto ikev1 enable outside
crypto ikev1 policy 65535
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
no ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 LOCAL
ssh timeout 60
ssh version 2
ssh key-exchange group dh-group14-sha1
console timeout 0
management-access outside

vpnclient mode client-mode
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp authenticate
ntp server 194.190.168.1 source outside
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 LOCAL vpnlb-ip
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 LOCAL
ssl trust-point ASDM_TrustPoint2 outside
webvpn
 enable outside
 anyconnect-essentials
 csd image disk0:/securedesktop-asa-3.2.1.103-k9.pkg
 csd enable
 anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1
 anyconnect profiles ANC_client_profile disk0:/ANC_client_profile.xml
 anyconnect profiles Main-ANC_client_profile disk0:/Main-ANC_client_profile.xml
 anyconnect profiles ergerg_client_profile disk0:/ergerg_client_profile.xml
 anyconnect enable
 tunnel-group-list enable
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
 dns-server value 100.100.200.250 100.100.100.1
 vpn-tunnel-protocol l2tp-ipsec
 default-domain value ydk.local
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec
group-policy GroupPolicy_ANC internal
group-policy GroupPolicy_ANC attributes
 wins-server none
 dns-server value 100.100.200.250
 vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value LAN_Access
 default-domain value ydk.local
 webvpn
  anyconnect profiles value ANC_client_profile type user
group-policy IPSEC-VPN internal
group-policy IPSEC-VPN attributes
 dns-server value 100.100.200.250
 vpn-simultaneous-logins 3
 vpn-filter value outside_cryptomap_65535.1
 vpn-tunnel-protocol ikev1
 password-storage enable
 split-tunnel-policy tunnelall
 split-tunnel-network-list value LAN_Access
 split-tunnel-all-dns enable
 nem enable
username d4rkd3n1337 password 7MxaAXBnyYycrM2n encrypted privilege 15
username vpnuser password kt23ttysdN8Q.7xf encrypted
username vpnuser attributes
 vpn-group-policy IPSEC-VPN
tunnel-group DefaultL2LGroup ipsec-attributes
 ikev1 pre-shared-key *****
 ikev2 remote-authentication pre-shared-key *****
 ikev2 local-authentication pre-shared-key *****
tunnel-group DefaultRAGroup general-attributes
 address-pool AdressL2TP
 default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
 ikev1 pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
 no authentication chap
 authentication ms-chap-v2
tunnel-group ANC type remote-access
tunnel-group ANC general-attributes
 default-group-policy GroupPolicy_ANC
 dhcp-server 100.100.200.1
tunnel-group ANC webvpn-attributes
 group-alias ANC enable
tunnel-group IPSEC-VPN type remote-access
tunnel-group IPSEC-VPN general-attributes
 address-pool tst
 default-group-policy IPSEC-VPN
tunnel-group IPSEC-VPN ipsec-attributes
 ikev1 pre-shared-key *****
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
  inspect http
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:2cbe7da5bd8c1a20705fe08f4e214738
: end

А в каком сценарии не работает?

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Добрый, забыл уточнить что асы находятся на NAT (да да, не спрашивайте :D). NAT-T включен. И даже я где то вычитал что свой UDP порт нужен NAT-Traversal (1701). И Route Injection включен. Я за неделю так и не нашел ответ, надеюсь на Вас! )

Добрый день,

 

Вы пытаетесь эмулировать входящий траффик VPN, а это невозможно. Пакет VPN имеет двойной заголовок и во внешнем заголовке будет публичный адрес, а не приватный. Попробуйте эмулировать исходящие пакеты и покажите пожалуйста результат.

Если я правильно Вас понял, то нужно с удаленного узла (устройства) про "трейсить" до асы???

А даже если и не понял, то поменял айпишники местами)))
Пожалуйста)

MAIN-ASA1# packet-tracer input outside icmp 100.100.200.250 4 1 10.254.254.10

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (LOCAL,outside) source static any any no-proxy-arp
Additional Information:
NAT divert to egress interface LOCAL
Untranslate 10.254.254.10/0 to 10.254.254.10/0

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group global_access global
access-list global_access extended permit ip any any
Additional Information:

Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (LOCAL,outside) source static any any no-proxy-arp
Additional Information:

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map inspection_default
 match default-inspection-traffic
policy-map global_policy
 class inspection_default
  inspect icmp
service-policy global_policy global
Additional Information:

Phase: 7
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (LOCAL,outside) source static any any no-proxy-arp
Additional Information:

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: LOCAL
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Результат тот же(

Нет, к сожалению, поменяв IP адреса местами Вы ничего не добьётесь. Вы пытаетесь сэмулировать трафик, входящий через интерфейс Outside. На этот интерфейс приходят пакеты с двойным заголовком - внешним и внутренним (VPN). Сэмулировать двойной заголовок средствами packet-tracer невозможно

Так если я эмулирую с inside (в моем случае LOCAL, но не суть), все пакеты доходят

 

Уточните пожалуйста что Вы имеете ввиду, когда говорите, что трафик не идёт через NAT. Вы пытаетесь дать клиентам EZVPN доступ в Интернет через VPN соединение?

 

Да даже в локалку нет доступа (сплит-тунелирование). А без сплит-тунеля тоже ни в какую. Может, я не правильно понимаю, что входящие пакеты приходят  на интерфейс outside? И пытаюсь сделать что то типа:

Source: outside

Destination: inside

Source IP: LocalNet (100.100.200.0)

Destination IP: LocalNet

Добрый день, 

 Вы пытаетесь настроить Site-to-Site или Remote Access VPN? Из Вашей конфигурации не совсем понятно.

Добрый) Remote Access VPN

Создать
Выразить признание своим коллегам
Content for Community-Ad

Сообщество Cisco

Помощь по сообществу