Remote Access VPN problem

gasparmenendez · ‎08-01-2017

Hi friends, I already configured a VPN connection between a PC (with public ip address) and my ASA 5580 for testing purposes. The problem is that I need to ping a subnet (192.168.199.0/24) behind the ASA from the PC connected through VPN but I can't, I don't know how to do that. Can anybody help me please???

Thanks in advance. BR.

Aditya Ganjoo · ‎08-01-2017

Hi,

You would need to configure a NAT-Exempt for the traffic.

Also you need to use 192.168.199.0/24 in the split tunnel access-list.

So, the NAT statement would be like:

nat (inside,outside) source static 192.168.199.0/24 192.168.199.0/24 destination static VPN VPN

Where VPN is your VPN pool IP addresses.

Split tunnel on ASA:

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/70917-asa-split-tunnel-vpn-client.html#s2

Regards,

Aditya

Please rate helpful and mark correct answers

gasparmenendez · ‎08-01-2017

hi @Aditya Ganjoo, I already added 192.168.199.0/24 to the split tunnel access-list (access-list ACL-tunel-vpn-prueba standard permit 192.168.199.0 255.255.255.0) but when I try to configure the NAT with: nat (INSIDE_Prueba,OUTSIDE) source static 192.168.199.0/24 192.168.199.0/24 destination static NETWORK_OBJ_192.168.239.0_25 NETWORK_OBJ_192.168.239.0_25 it returns error: ERROR: 192.168.199.0/24 doesn't match an existing object or object-group but when I check ASA's config I see

object network 192.168.199.0
subnet 192.168.199.0 255.255.255.0

??? what could it be??

Thanks.

gasparmenendez · ‎08-01-2017

Can someone else please help???? I'm working on this and the communication I feel is too slow... Sorry for my impatience.

BR.

Richard Bradfield · ‎08-03-2017

Can we go back to basics.

does your VPN tunnel come up? I take it you are using the old ipsec VPN client

Is your PC picking up an Ip address from the ASA do a 'ipconfig/all" from CMD on your PC?

Please post the relevant ASA configuration

gasparmenendez · ‎08-03-2017

oh great, another person helping....it was about time!!!

VPN tunnel comes up, that's no a problem. Take a look here:

C:\Users\Sistemas>ipconfig/all

Configuración IP de Windows

   Nombre de host. . . . . . . . . : DESK-MKUJS
   Sufijo DNS principal . . . . . :
   Tipo de nodo. . . . . . . . . . : híbrido
   Enrutamiento IP habilitado. . . : no
   Proxy WINS habilitado . . . . . : no

Adaptador de LAN inalámbrica Wi-Fi:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 3160
   Dirección física. . . . . . . . . . . . . : F4-06-69-19-1A-6D
   DHCP habilitado . . . . . . . . . . . . . : sí
   Configuración automática habilitada . . . : sí

Adaptador de LAN inalámbrica Conexión de área local* 1:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Dirección física. . . . . . . . . . . . . : F4-06-69-19-1A-6E
   DHCP habilitado . . . . . . . . . . . . . : sí
   Configuración automática habilitada . . . : sí

Adaptador de Ethernet Ethernet:

   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Dirección física. . . . . . . . . . . . . : 2C-60-0C-6B-0C-52
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
   Vínculo: dirección IPv6 local. . . : fe80::edc8:4db2:3a66:a2b1%3(Preferido)
   Dirección IPv4. . . . . . . . . . . . . . : 170.X.X.74(Preferido)
   Máscara de subred . . . . . . . . . . . . : 255.255.255.252
   Puerta de enlace predeterminada . . . . . : 170.X.X.73
   IAID DHCPv6 . . . . . . . . . . . . . . . : 153903116
   DUID de cliente DHCPv6. . . . . . . . . . : 00-01-00-01-21-0B-63-82-2C-60-0C-6B-0C-52
   Servidores DNS. . . . . . . . . . . . . . : 209.Y.Y.3
                                       209.Y.Y.4
   NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado

Adaptador de Ethernet Ethernet 2:

   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Cisco Systems VPN Adapter for 64-bit Windows
   Dirección física. . . . . . . . . . . . . : 00-05-9A-3C-78-00
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
   Vínculo: dirección IPv6 local. . . : fe80::c0fd:dc02:bc88:1efd%11(Preferido)
   Dirección IPv4. . . . . . . . . . . . . . : 192.168.239.2(Preferido)
   Máscara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . :
   IAID DHCPv6 . . . . . . . . . . . . . . . : 150996378
   DUID de cliente DHCPv6. . . . . . . . . . : 00-01-00-01-21-0B-63-82-2C-60-0C-6B-0C-52
   Servidores DNS. . . . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado

Adaptador de túnel 6TO4 Adapter:

   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Microsoft 6to4 Adapter
   Dirección física. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
   Dirección IPv6 . . . . . . . . . . : 2002:aa50:f04a::aa50:f04a(Preferido)
   Puerta de enlace predeterminada . . . . . :
   IAID DHCPv6 . . . . . . . . . . . . . . . : 436207616
   DUID de cliente DHCPv6. . . . . . . . . . : 00-01-00-01-21-0B-63-82-2C-60-0C-6B-0C-52
   Servidores DNS. . . . . . . . . . . . . . : 209.Y.Y.3
                                       209.Y.Y.4
   NetBIOS sobre TCP/IP. . . . . . . . . . . : deshabilitado

Adaptador de Ethernet Conexión de red Bluetooth:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Dirección física. . . . . . . . . . . . . : F4-06-69-19-1A-71
   DHCP habilitado . . . . . . . . . . . . . : sí
   Configuración automática habilitada . . . : sí

Adaptador de túnel isatap.{3207E13F-6B72-4ADF-AE59-1AE4E898136A}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
   Dirección física. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí

Adaptador de túnel Teredo Tunneling Pseudo-Interface:

   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
   Dirección física. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
   Dirección IPv6 . . . . . . . . . . : 2001:0:9d38:6ab8:18e8:1669:55af:fb5(Preferido)
   Vínculo: dirección IPv6 local. . . : fe80::18e8:1669:55af:fb5%12(Preferido)
   Puerta de enlace predeterminada . . . . . :
   IAID DHCPv6 . . . . . . . . . . . . . . . : 318767104
   DUID de cliente DHCPv6. . . . . . . . . . : 00-01-00-01-21-0B-63-82-2C-60-0C-6B-0C-52
   NetBIOS sobre TCP/IP. . . . . . . . . . . : deshabilitado

Adaptador de túnel isatap.{EB873541-2263-4032-814C-60FF84075050}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Dirección física. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí

C:\Users\Sistemas>

Relevant ASA config I think:

object network 172.16.99.0
subnet 172.16.99.0 255.255.255.0

object network 192.168.239.0
subnet 192.168.239.0 255.255.255.128
description 192.168.239.0
object network NETWORK_OBJ_192.168.239.0_25
subnet 192.168.239.0 255.255.255.128
object network pool-vpn-prueba
subnet 192.168.239.0 255.255.255.128

access-list INSIDE_Prueba_access_in extended permit ip object 192.168.199.0 any
access-list ACL-tunel-vpn-prueba standard permit 192.168.239.0 255.255.255.0
access-list ACL-tunel-vpn-prueba standard permit 192.168.199.0 255.255.255.0

ip local pool pool-vpn-prueba 192.168.239.1-192.168.239.100 mask 255.255.255.0

nat (INSIDE_Prueba,OUTSIDE) source static any any destination static NETWORK_OBJ_192.168.239.0_25 NETWORK_OBJ_192.168.239.0_25 no-proxy-arp route-lookup
nat (INSIDE_Prueba,OUTSIDE) source static 192.168.199.0 192.168.199.0 destination static NETWORK_OBJ_192.168.239.0_25 NETWORK_OBJ_192.168.239.0_25

route INSIDE_Prueba 192.168.199.0 255.255.255.0 192.168.62.253 1

Please let me know if you need something else. I really appreciate your help very much. This thing is taking too long to solve.

I attached a picture.

Thanks in advance. BR.

Richard Bradfield · ‎08-03-2017

Please show me the "route details" from the VPN client

Richard Bradfield · ‎08-03-2017

Have you the following on the ASA

Route inside 192.168.199.0 255.255.255.0 < inside ip address of router or switch ASA is connected to>

Here an example of the tunnel-group and group -policy for the VPN please substitute your values.

tunnel-group rbradtest type remote-access
tunnel-group rbradtest general-attributes
address-pool vpnclient
authentication-server-group (outside) ACS5RADIUS
default-group-policy rbradtest

group-policy rbradtest internal
group-policy rbradtest attributes
dns-server value xx.xx.xx.xx
vpn-idle-timeout 30
vpn-session-timeout 240
vpn-tunnel-protocol ikev1 l2tp-ipsec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value 90
default-domain value XXXXXX
secure-unit-authentication enable
user-authentication-idle-timeout 30

access-list 90 extended permit ip 172.16.0.0 255.254.0.0 object Chifley-VPN-vlan

gasparmenendez · ‎08-04-2017

yes I have this in my ASA:

route INSIDE_Prueba 192.168.199.0 255.255.255.0 192.168.62.253 1

but I think that my first big problem is that I can't ping the PC connected to LAN behind the ASA (192.168.199.18) from ASA's inside interface....

Thanks.

Richard Bradfield · ‎08-04-2017

OK so firstly look at routing on your 192.168.63.253 device, has it a route to 192.168.239.0?

gasparmenendez · ‎08-10-2017

sorrty for the delay Richard Bradfield, I was working on the field.

in my 192.168.63.253 device (Switch Cisco 3750) I have this: ip route 0.0.0.0 0.0.0.0 192.168.62.254, I think that route covers 192.168.239.0 since that subnet is created in the ASA.

Thanks.

Richard Bradfield · ‎08-10-2017

But is 192.168..63.253 the default gateway for the PC?

do a "route print" from the CMD line on your PC

gasparmenendez · ‎08-10-2017

sorry Richard Bradfield but I don't understand...

to wich "PC" do you refer??? I'm using 2 PC's: one with public ip address (200.X.X.162) conected to ASA through VPN (192.168.239.2) and a second PC on the LAN behind ASA (192.168.199.24) ???

ASA inside interface's ip address is 192.168.62.254.

Thanks.

Richard Bradfield · ‎08-10-2017

PC on the LAN behind ASA , so I take it the 3750 has an IP address on the 192.168.199.xx subnet and the 192.168.63.253 address for the link to the ASA

so on the PC the default gateway will be the 3750 Ip address 192.168.199.xx

gasparmenendez · ‎08-10-2017

that's correct my friend, in 3750 I have:

ip dhcp pool 199Level3
   network 192.168.199.0 255.255.255.0
   default-router 1922.168.199.254
   dns-server 209.X.X.3 209.X.X.4

and:

interface Vlan199
description *** Pruebas Level3 ***
ip address 192.168.199.254 255.255.255.0

and besides:

interface GigabitEthernet1/0/5
description *** Interfaz prueba ASA5580 ***
switchport access vlan 62
switchport mode access
switchport nonegotiate

and:

interface Vlan62
description *** Prueba CMTS 2 ***
ip address 192.168.62.253 255.255.255.0

route print is attached.

Thanks.