各位大神好:
我的anyconnect vpn 配置如下:
ip local pool anyconnect-jiiov 10.235.119.10-10.235.119.250 mask 255.255.255.0
object network anyconnect-jiiov
nat (any,internet) dynamic interface
nat (any,internet) after-auto source static any any destination static anyconnect-jiiov anyconnect-jiiov no-proxy-arp route-lookup
aaa-server jiiov protocol radius
aaa-server jiiov (inside) host 10.235.115.25
timeout 5
key *****
authentication-port 18121
webvpn
anyconnect mtu 1400
group-policy anyconnect-jiiov internal
group-policy anyconnect-jiiov attributes
dns-server value 10.203.12.21 10.203.12.22
vpn-simultaneous-logins 2
vpn-idle-timeout 60
vpn-session-timeout 720
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value jiiov.com
split-tunnel-all-dns enable
请哪位大神帮忙看下 我的配置还哪里有问题吗?外网地址目前连接超时,还没有到认证
1.看一下show run webvpn的配置,是否在对应的接口上启用了,是否配置了anyconnect enable
ASA# sh run webvpn webvpn enable inside <-- enable outside <-- anyconnect-essentials anyconnect image disk0:/anyconnect-win-4.7.01076-webdeploy-k9.pkg 1 anyconnect enable <-- tunnel-group-list enable ASA#
此外,anyconnect默认使用443接口,确保接口ip的tcp443可用,可以通过port xxx 更改为其他的端口
2. nat的配置最好改一下,将any改成明确的名称。如果改了有问题,可以先将anyconnect的相关的nat规则的区域名称写成明确的,object network anyconnect-jiiov的里面的地址范围是什么?anyconnect的的流量访问规则是怎么设计的?
3. radius的配置再检查一下
aaa-server jiiov (inside) host 10.235.115.25 timeout 5 key ***** authentication-port 18121 <----
感谢支持回复
1、ciscoasa(config)# show run webvpn
webvpn
enable inside
enable internet
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
2、nat这里 我可以改成object network anyconnect-jiiov(10.235.119.10 10.235.119.250)
nat (inside,internet) dynamic interface
3、radius这我再看下,因为是克隆的虚拟机,现在是还没有到认证,我使用客户端连接时候,公网地址就连接失败
我看策略上写的是tunnelall,是准备所有的流量都传回防火墙?还是有其他的情况?
第二条你写的nat是允许 10.235.119.10-250这些地址从 inside NAT 到internet,但是针对anyconnect来说,应该是internet --> internet,nat(internet, internet) dynamic interface 另外还需要允许同一个接口流量的进出 same-security-traffic permit intra-interface
此外,这个nat也是和anyconnect有关系的
nat (any,internet) after-auto source static any any destination static anyconnect-jiiov anyconnect-jiiov no-proxy-arp route-lookup
最后还是那个问题,anyconnect的客户端拨完之后能访问什么,流量走向是什么样子的,确定了这个nat基本也就能定下来了。