Acheter ou Renouveler
Acheter ou Renouveler
NOTICE: You can now engage in the community. Learn about the great new Cisco Umbrella content.
annuler
Activer les suggestions
La fonction de suggestion automatique permet d'affiner rapidement votre recherche en suggérant des correspondances possibles au fur et à mesure de la frappe.
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Nouveau sujet
830
Visites
0
Compliment
1
Réponses

AnyConnect pour VPN interne et site à site

Accéder à la solution
Jimena Saez
Community Manager
Community Manager

‎09-04-2019 05:39 PM - modifié ‎17-04-2019 04:24 PM

Chère communauté,

Je me bats pour obtenir une connexion des clients AnyConnect aux réseaux interne et interne, ainsi qu’au VPN de site à site.

Anyconnect Network 10.10.200.0 -> ASA avec réseau interne 10.10.100.0 connecté -> site l2l distant 192.168.1.1

Si j'essaie de faire un ping depuis le client anyconnect, je peux voir sur le débogage de l'ASA que le ping atteint l'ASA. Si je simule le ping via le traceur de paquets, j'obtiens la sortie suivante pour les pings vers les sites interne et distant, mais uniquement si des clients anyconnect sont connectés et que le réseau 10.10.200.0 est reconnu comme étant directement connecté. Si aucun client anyconnect n'est connecté, le traceur de paquets réussit à établir la connexion:

Phase: 6
Type: VPN
Subtype: ipsec-tunnel-flow
Result: DROP
Config:
Additional Information:
J'ai essayé avec un permis quelconque mais cela ne change rien.

Merci pour votre contribution

 

Publié par: Isynth / Version originale en anglais

Étiquettes :
0 Compliments
1 SOLUTION APPROUVÉE

Solutions approuvées

Accéder à la solution
Jimena Saez
Community Manager
Community Manager

le ‎09-04-2019 05:41 PM

La solution...

  • D'abord, j'aimerais vous faire savoir ce que vous faites s'appelle épiler les cheveux, aussi appelé virage en tournant

Je vois que vous utilisez un ASA, le guide ci-dessous peut vous aider un peu.

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html

  • Deuxièmement, ne basez pas votre unique dépannage sur Packet tracer, car sa sortie est souvent trompeuse, par exemple, "abandonnée par acl" alors qu'en réalité, le problème pourrait être avec nat.

Dans votre cas, une fois que vous vous êtes connecté avec anyconnect et avez utilisé la même adresse IP pour un traceur de paquets, il la perdra. L'utilisation d'une adresse IP inutilisée dans la plage du pool anyconnect sera plus bénéfique.

 

Étant donné que votre aventure comporte deux parties, je vous suggère de la diviser en deux parties.

  1. Être capable de se connecter à anyconnect et de faire un ping sur ip à l'intérieur du réseau avec succès (pas l'interface ip à l'intérieur de l'asa).
  2. Obtenez votre tunnel et être capable de faire passer le trafic à travers le tunnel

Une fois que ces deux parties sont terminées, vous pouvez commencer votre NAT.

same-security-traffic permit intra-interface


Lorsque vous envoyez une requête ping du client Anyconenct à votre réseau interne, obtenez-vous une réponse? (encore une fois, ne faites pas de ping sur votre interface interne, ce n'est pas un test valide).

 

Si vous ne recevez pas de réponse, vous pouvez utiliser une capture ASP. C'est une bonne idée d'ajouter également une mémoire tampon pour que votre asa ne tombe pas en panne.

Exécuter un ping continu sur le client AnyConnect, puis sur l'asa "cap cap type asp-drop buffer 500000".

Faites ensuite un "show cap cap | i (anyconnect client ip)" pour voir ce qui se passe dans le trafic

supprimer la capture après avec "no cap cap".

 

Vous pouvez également effectuer des captures à l’intérieur et à l’extérieur de l’interface pour voir dans quelle mesure le paquet le rend.

Quelques infos sur les captures

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118097-configure-asa-00.html

 

Contribution de: Roy Harrington / Plus de détails ici (version en anglais)

Voir la solution dans l'envoi d'origine

0 Compliments
1 RÉPONSE 1

Accéder à la solution
Jimena Saez
Community Manager
Community Manager

le ‎09-04-2019 05:41 PM

La solution...

  • D'abord, j'aimerais vous faire savoir ce que vous faites s'appelle épiler les cheveux, aussi appelé virage en tournant

Je vois que vous utilisez un ASA, le guide ci-dessous peut vous aider un peu.

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html

  • Deuxièmement, ne basez pas votre unique dépannage sur Packet tracer, car sa sortie est souvent trompeuse, par exemple, "abandonnée par acl" alors qu'en réalité, le problème pourrait être avec nat.

Dans votre cas, une fois que vous vous êtes connecté avec anyconnect et avez utilisé la même adresse IP pour un traceur de paquets, il la perdra. L'utilisation d'une adresse IP inutilisée dans la plage du pool anyconnect sera plus bénéfique.

 

Étant donné que votre aventure comporte deux parties, je vous suggère de la diviser en deux parties.

  1. Être capable de se connecter à anyconnect et de faire un ping sur ip à l'intérieur du réseau avec succès (pas l'interface ip à l'intérieur de l'asa).
  2. Obtenez votre tunnel et être capable de faire passer le trafic à travers le tunnel

Une fois que ces deux parties sont terminées, vous pouvez commencer votre NAT.

same-security-traffic permit intra-interface


Lorsque vous envoyez une requête ping du client Anyconenct à votre réseau interne, obtenez-vous une réponse? (encore une fois, ne faites pas de ping sur votre interface interne, ce n'est pas un test valide).

 

Si vous ne recevez pas de réponse, vous pouvez utiliser une capture ASP. C'est une bonne idée d'ajouter également une mémoire tampon pour que votre asa ne tombe pas en panne.

Exécuter un ping continu sur le client AnyConnect, puis sur l'asa "cap cap type asp-drop buffer 500000".

Faites ensuite un "show cap cap | i (anyconnect client ip)" pour voir ce qui se passe dans le trafic

supprimer la capture après avec "no cap cap".

 

Vous pouvez également effectuer des captures à l’intérieur et à l’extérieur de l’interface pour voir dans quelle mesure le paquet le rend.

Quelques infos sur les captures

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118097-configure-asa-00.html

 

Contribution de: Roy Harrington / Plus de détails ici (version en anglais)

0 Compliments

Liens rapides

Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français

Partager un document Rédiger un blog Vidéos Sécurité
Customers Also Viewed These Support Documents