cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
2400
Views
0
Helpful
30
Replies

Remote Access VPN problem

gasparmenendez
Level 3
Level 3

Hi friends, I already configured a VPN connection between a PC (with public ip address) and my ASA 5580 for testing purposes. The problem is that I need to ping a subnet (192.168.199.0/24) behind the ASA from the PC connected through VPN but I can't, I don't know how to do that. Can anybody help me please???

Thanks in advance. BR.

30 Replies 30

Aditya Ganjoo
Cisco Employee
Cisco Employee

Hi,

You would need to configure a NAT-Exempt for the traffic.

Also you need to use 192.168.199.0/24 in the split tunnel access-list.

So, the NAT statement would be like:

nat (inside,outside) source static 192.168.199.0/24 192.168.199.0/24 destination static VPN VPN

Where VPN is your VPN pool IP addresses.

Split tunnel on ASA:

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/70917-asa-split-tunnel-vpn-client.html#s2

Regards,

Aditya

Please rate helpful and mark correct answers

hi @Aditya Ganjoo, I already added 192.168.199.0/24 to the split tunnel access-list (access-list ACL-tunel-vpn-prueba standard permit 192.168.199.0 255.255.255.0) but when I try to configure the NAT with: nat (INSIDE_Prueba,OUTSIDE) source static 192.168.199.0/24 192.168.199.0/24 destination static NETWORK_OBJ_192.168.239.0_25 NETWORK_OBJ_192.168.239.0_25 it returns error: ERROR: 192.168.199.0/24 doesn't match an existing object or object-group but when I check ASA's config I see

object network 192.168.199.0
 subnet 192.168.199.0 255.255.255.0

??? what could it be??

Thanks.

Can someone else please help???? I'm working on this and the communication I feel is too slow... Sorry for my impatience.

BR.

Can we go back to basics.

does your VPN tunnel come up? I take it you are using the old ipsec VPN client

Is your PC picking up an Ip address from the ASA do a 'ipconfig/all"  from CMD on your PC?

Please post the relevant ASA configuration

oh great, another person helping....it was about time!!!

VPN tunnel comes up, that's no a problem. Take a look here:

C:\Users\Sistemas>ipconfig/all
 
Configuración IP de Windows
 
   Nombre de host. . . . . . . . . : DESK-MKUJS
   Sufijo DNS principal  . . . . . :
   Tipo de nodo. . . . . . . . . . : híbrido
   Enrutamiento IP habilitado. . . : no
   Proxy WINS habilitado . . . . . : no
 
Adaptador de LAN inalámbrica Wi-Fi:
 
   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 3160
   Dirección física. . . . . . . . . . . . . : F4-06-69-19-1A-6D
   DHCP habilitado . . . . . . . . . . . . . : sí
   Configuración automática habilitada . . . : sí
 
Adaptador de LAN inalámbrica Conexión de área local* 1:
 
   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Dirección física. . . . . . . . . . . . . : F4-06-69-19-1A-6E
   DHCP habilitado . . . . . . . . . . . . . : sí
   Configuración automática habilitada . . . : sí
 
Adaptador de Ethernet Ethernet:
 
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Dirección física. . . . . . . . . . . . . : 2C-60-0C-6B-0C-52
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
   Vínculo: dirección IPv6 local. . . : fe80::edc8:4db2:3a66:a2b1%3(Preferido)
   Dirección IPv4. . . . . . . . . . . . . . : 170.X.X.74(Preferido)
   Máscara de subred . . . . . . . . . . . . : 255.255.255.252
   Puerta de enlace predeterminada . . . . . : 170.X.X.73
   IAID DHCPv6 . . . . . . . . . . . . . . . : 153903116
   DUID de cliente DHCPv6. . . . . . . . . . : 00-01-00-01-21-0B-63-82-2C-60-0C-6B-0C-52
   Servidores DNS. . . . . . . . . . . . . . : 209.Y.Y.3
                                       209.Y.Y.4
   NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado
 
Adaptador de Ethernet Ethernet 2:
 
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Cisco Systems VPN Adapter for 64-bit Windows
   Dirección física. . . . . . . . . . . . . : 00-05-9A-3C-78-00
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
   Vínculo: dirección IPv6 local. . . : fe80::c0fd:dc02:bc88:1efd%11(Preferido)
   Dirección IPv4. . . . . . . . . . . . . . : 192.168.239.2(Preferido)
   Máscara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . :
   IAID DHCPv6 . . . . . . . . . . . . . . . : 150996378
   DUID de cliente DHCPv6. . . . . . . . . . : 00-01-00-01-21-0B-63-82-2C-60-0C-6B-0C-52
   Servidores DNS. . . . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado
 
Adaptador de túnel 6TO4 Adapter:
 
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Microsoft 6to4 Adapter
   Dirección física. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
   Dirección IPv6 . . . . . . . . . . : 2002:aa50:f04a::aa50:f04a(Preferido)
   Puerta de enlace predeterminada . . . . . :
   IAID DHCPv6 . . . . . . . . . . . . . . . : 436207616
   DUID de cliente DHCPv6. . . . . . . . . . : 00-01-00-01-21-0B-63-82-2C-60-0C-6B-0C-52
   Servidores DNS. . . . . . . . . . . . . . : 209.Y.Y.3
                                       209.Y.Y.4
   NetBIOS sobre TCP/IP. . . . . . . . . . . : deshabilitado
 
Adaptador de Ethernet Conexión de red Bluetooth:
 
   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Dirección física. . . . . . . . . . . . . : F4-06-69-19-1A-71
   DHCP habilitado . . . . . . . . . . . . . : sí
   Configuración automática habilitada . . . : sí
 
Adaptador de túnel isatap.{3207E13F-6B72-4ADF-AE59-1AE4E898136A}:
 
   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
   Dirección física. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
 
Adaptador de túnel Teredo Tunneling Pseudo-Interface:
 
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
   Dirección física. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
   Dirección IPv6 . . . . . . . . . . : 2001:0:9d38:6ab8:18e8:1669:55af:fb5(Preferido)
   Vínculo: dirección IPv6 local. . . : fe80::18e8:1669:55af:fb5%12(Preferido)
   Puerta de enlace predeterminada . . . . . :
   IAID DHCPv6 . . . . . . . . . . . . . . . : 318767104
   DUID de cliente DHCPv6. . . . . . . . . . : 00-01-00-01-21-0B-63-82-2C-60-0C-6B-0C-52
   NetBIOS sobre TCP/IP. . . . . . . . . . . : deshabilitado
 
Adaptador de túnel isatap.{EB873541-2263-4032-814C-60FF84075050}:
 
   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :
   Descripción . . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Dirección física. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
 
C:\Users\Sistemas>

Relevant ASA config I think:

object network 172.16.99.0
 subnet 172.16.99.0 255.255.255.0

object network 192.168.239.0
 subnet 192.168.239.0 255.255.255.128
 description 192.168.239.0
object network NETWORK_OBJ_192.168.239.0_25
 subnet 192.168.239.0 255.255.255.128
object network pool-vpn-prueba
 subnet 192.168.239.0 255.255.255.128


access-list INSIDE_Prueba_access_in extended permit ip object 192.168.199.0 any
access-list ACL-tunel-vpn-prueba standard permit 192.168.239.0 255.255.255.0
access-list ACL-tunel-vpn-prueba standard permit 192.168.199.0 255.255.255.0

ip local pool pool-vpn-prueba 192.168.239.1-192.168.239.100 mask 255.255.255.0

nat (INSIDE_Prueba,OUTSIDE) source static any any destination static NETWORK_OBJ_192.168.239.0_25 NETWORK_OBJ_192.168.239.0_25 no-proxy-arp route-lookup
nat (INSIDE_Prueba,OUTSIDE) source static 192.168.199.0 192.168.199.0 destination static NETWORK_OBJ_192.168.239.0_25 NETWORK_OBJ_192.168.239.0_25

route INSIDE_Prueba 192.168.199.0 255.255.255.0 192.168.62.253 1

 Please let me know if you need something else. I really appreciate your help very much. This thing is taking too long to solve.

I attached a picture.

Thanks in advance. BR.

Please show me the "route details"  from the VPN client

Have you the following on the ASA

Route inside 192.168.199.0 255.255.255.0 < inside ip address of router or switch ASA is connected to>

Here an example of the tunnel-group and group -policy for the VPN please substitute your values.

tunnel-group rbradtest type remote-access
tunnel-group rbradtest general-attributes
 address-pool vpnclient
 authentication-server-group (outside) ACS5RADIUS
 default-group-policy rbradtest

group-policy rbradtest internal
group-policy rbradtest attributes
 dns-server value xx.xx.xx.xx
 vpn-idle-timeout 30
 vpn-session-timeout 240
 vpn-tunnel-protocol ikev1 l2tp-ipsec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value 90
 default-domain value XXXXXX
 secure-unit-authentication enable
 user-authentication-idle-timeout 30

access-list 90 extended permit ip 172.16.0.0 255.254.0.0 object Chifley-VPN-vlan

yes I have this in my ASA:

route INSIDE_Prueba 192.168.199.0 255.255.255.0 192.168.62.253 1

but I think that my first big problem is that I can't ping the PC connected to LAN behind the ASA (192.168.199.18) from ASA's inside interface....

Thanks.

OK so firstly look at routing on your 192.168.63.253 device, has it a route to 192.168.239.0?

sorrty for the delay Richard Bradfield, I was working on the field.

in my 192.168.63.253 device (Switch Cisco 3750) I have this: ip route 0.0.0.0 0.0.0.0 192.168.62.254, I think that route covers 192.168.239.0 since that subnet is created in the ASA.

Thanks.

But is 192.168..63.253 the default gateway for the PC?

do a "route print" from the CMD line on your PC