取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

770
查看次数
0
有帮助
4
回复
wangzhifu60088
Beginner

ASA防护墙关于anyconnect vpn 配置问题

各位大神好:

        我的anyconnect vpn 配置如下:

ip local pool anyconnect-jiiov 10.235.119.10-10.235.119.250 mask 255.255.255.0

object network anyconnect-jiiov
nat (any,internet) dynamic interface

nat (any,internet) after-auto source static any any destination static anyconnect-jiiov anyconnect-jiiov no-proxy-arp route-lookup

aaa-server jiiov protocol radius
aaa-server jiiov (inside) host 10.235.115.25
timeout 5
key *****
authentication-port 18121

webvpn
anyconnect mtu 1400
group-policy anyconnect-jiiov internal
group-policy anyconnect-jiiov attributes
dns-server value 10.203.12.21 10.203.12.22
vpn-simultaneous-logins 2
vpn-idle-timeout 60
vpn-session-timeout 720
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value jiiov.com
split-tunnel-all-dns enable

 

请哪位大神帮忙看下 我的配置还哪里有问题吗?外网地址目前连接超时,还没有到认证

4 条回复4
ilay
Rising star

1.看一下show run webvpn的配置,是否在对应的接口上启用了,是否配置了anyconnect enable

ASA# sh run webvpn
webvpn
 enable inside  <--
 enable outside  <--
 anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-4.7.01076-webdeploy-k9.pkg 1
 anyconnect enable   <--
 tunnel-group-list enable
ASA#

此外,anyconnect默认使用443接口,确保接口ip的tcp443可用,可以通过port xxx 更改为其他的端口

2. nat的配置最好改一下,将any改成明确的名称。如果改了有问题,可以先将anyconnect的相关的nat规则的区域名称写成明确的,object network anyconnect-jiiov的里面的地址范围是什么?anyconnect的的流量访问规则是怎么设计的?

 

3.  radius的配置再检查一下

aaa-server jiiov (inside) host 10.235.115.25
timeout 5
key *****
authentication-port 18121   <----

 

感谢支持回复

1、ciscoasa(config)# show run webvpn
webvpn
enable inside
enable internet
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable

 

2、nat这里 我可以改成object network anyconnect-jiiov(10.235.119.10 10.235.119.250)
                                nat (inside,internet) dynamic interface

3、radius这我再看下,因为是克隆的虚拟机,现在是还没有到认证,我使用客户端连接时候,公网地址就连接失败

    

我看策略上写的是tunnelall,是准备所有的流量都传回防火墙?还是有其他的情况?

第二条你写的nat是允许 10.235.119.10-250这些地址从 inside NAT 到internet,但是针对anyconnect来说,应该是internet --> internet,nat(internet, internet) dynamic interface  另外还需要允许同一个接口流量的进出 same-security-traffic permit intra-interface

此外,这个nat也是和anyconnect有关系的

nat (any,internet) after-auto source static any any destination static anyconnect-jiiov anyconnect-jiiov no-proxy-arp route-lookup

最后还是那个问题,anyconnect的客户端拨完之后能访问什么,流量走向是什么样子的,确定了这个nat基本也就能定下来了。

 

qidong zhang
Beginner

学习到了