отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
2230
Просмотры
5
Полезный материал
15
Ответы
ntkernel
Beginner

IPSec VPN проблемы с NAT

Привет, сразу к делу! Настроил на ASA5505 IPSec VPN сервер. Создал крипто-карту итд итп. Создал обьект с подсетью:

object network OBJ-EZVPN-SUBNET
 subnet 10.254.254.0 255.255.255.0

Создал DHCP пул (10.254.254.10 - 10.254.254.50)

И прописал NAT правило:

nat (LOCAL,outside) source static any any destination static OBJ-EZVPN-SUBNET OBJ-EZVPN-SUBNET no-proxy-arp route-lookup

(если что, LOCAL - внутренняя сетка (100.100.200.0)

Вообщем, что со сплит туннелем, что без, трафик не идет через NAT.  Вот вывод с packet-tracer icmp...

Phase: 9
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (LOCAL,outside) source static any any no-proxy-arp
Additional Information:
 Forward Flow based lookup yields rule:
 out id=0xad06f9e8, priority=6, domain=nat-reverse, deny=false
        hits=1414, user_data=0xad06ec98, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
        input_ifc=outside, output_ifc=LOCAL

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: LOCAL
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Просьба обьяснить что я делаю не так 0_о

15 ОТВЕТ 15

Я так понимаю, вот это конфигурация, которая должна применяться?

group-policy IPSEC-VPN internal
group-policy IPSEC-VPN attributes
 dns-server value 100.100.200.250
 vpn-simultaneous-logins 3
 vpn-filter value outside_cryptomap_65535.1
 vpn-tunnel-protocol ikev1
 password-storage enable
 split-tunnel-policy tunnelall
 split-tunnel-network-list value LAN_Access
 split-tunnel-all-dns enable
 nem enable

tunnel-group IPSEC-VPN type remote-access
tunnel-group IPSEC-VPN general-attributes
 address-pool tst
 default-group-policy IPSEC-VPN
tunnel-group IPSEC-VPN ipsec-attributes
 ikev1 pre-shared-key *****

Покажите пожалуйста вывод команды 

show vpn-sessiondb anyconnect

когда удалённые пользователи подключены.