取消
显示结果 
搜索替代 
您的意思是: 
cancel
2233
查看次数
20
有帮助
6
回复

ASA5505 SSLVPN客户端拨号成功,但访问不了总部内网

XUEHAIWUYA1
Level 1
Level 1
本帖最后由 XUEHAIWUYA1 于 2018-8-30 05:30 编辑
总部VPN配置完成以后,客户端远程可以拨号到总部,但是访问不了总部内网,只能ping通总部网关,ping不通内部地址,内网地址是1.0网段的,vpn分配地支池是2.0段的
ip local pool vpn 192.10.2.100-192.10.2.200 mask 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 4
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Vlan1
nameif inside
security-level 100
ip address 192.10.1.1 255.255.255.0 内网地址
!
interface Vlan4
nameif outside
security-level 0
ip address x.x.x.x x.x.x.x 外网网关
!
interface Vlan5
no nameif
security-level 100
no ip address
!
ftp mode passive
clock timezone CST 8
object network in
subnet 192.10.1.0 255.255.255.0
access-list 102 extended permit ip any any
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network in
nat (inside,outside) dynamic interface
access-group 200 in interface outside
route outside 0.0.0.0 0.0.0.0 10.10.10.10 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http server enable 500
http 192.10.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint ASDM_TrustPoint0
enrollment terminal
subject-name CN=10.10.10.10,O=XXXX,C=CN
crl configure
crypto ca trustpool policy
telnet timeout 5
no ssh stricthostkeycheck
ssh 192.10.1.0 255.255.255.0 inside
ssh timeout 30
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd dns 61.134.1.4 218.30.19.40
!
dhcpd address 192.10.1.100-192.10.1.250 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.1.05187-k9.pkg 1
anyconnect enable
group-policy anyconnect internal
group-policy anyconnect attributes
vpn-tunnel-protocol ssl-client ssl-clientless
address-pools value vpn
username admin password f3UhLvUj1QsXsuK7 encrypted privilege 15
username YYYYY password 3QaE0K2Bfwsb.fdh encrypted
username YYYYY attributes
vpn-group-policy anyconnect
username XXXXX password JlHRhsYnAnFL80q8 encrypted
username XXXXX attributes
vpn-group-policy anyconnect
username XXXX password 1x7at4eaNk.TMe2m encrypted privilege 15
tunnel-group SSLPRO type remote-access
tunnel-group SSLPRO general-attributes
address-pool vpn
default-group-policy anyconnect
tunnel-group SSLPRO webvpn-attributes
group-alias SSLPRO enable
!
class-map inspection_default
match default-inspection-traffic
1 个已接受解答

已接受的解答

jingjian
Spotlight
Spotlight
你的anyconnect 配置有两个地方配置错误
1.没有配置隧道分割
Access-list tunnel_split permit ip 172.20.4.0 255.255.255.0 any
然后在group-policy下调用
group-policy anyconnect attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value tunnel-split
2.没有配置NAT旁路 (因为你的outside接口配置了NAT)
object network anyconnect
subnet 172.20.44.0 255.255.255.0
nat (inside,outside) source static in in destination static anyconnect anyconnect

在原帖中查看解决方案

6 条回复6

jingjian
Spotlight
Spotlight
你的anyconnect 配置有两个地方配置错误
1.没有配置隧道分割
Access-list tunnel_split permit ip 172.20.4.0 255.255.255.0 any
然后在group-policy下调用
group-policy anyconnect attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value tunnel-split
2.没有配置NAT旁路 (因为你的outside接口配置了NAT)
object network anyconnect
subnet 172.20.44.0 255.255.255.0
nat (inside,outside) source static in in destination static anyconnect anyconnect

13nash
Level 8
Level 8
NAT 豁免没做,VPN流量和内网流量之间

RenxChen
Spotlight
Spotlight
在你的ASA上使用packet-tracer,检查到达目标路由期间经过哪个协议出现了问题。做一个自检。
再检查配置。建议使用ASDM进行配置。

XUEHAIWUYA1
Level 1
Level 1
arvinjing 发表于 2017-11-7 15:58
你的anyconnect 配置有两个地方配置错误
1.没有配置隧道分割
Access-list tunnel_split permit ip 172.20 ...

你好,确实是nat的问题,已经解决了,现在可以访问内网了,但是还有一个问题,就是ping不通ASA本身的内部网关地址4.1,其它的4.2 4.3 等等都能ping通,难道是sslvpn不能管理防火墙本身吗?

jingjian
Spotlight
Spotlight
XUEHAIWUYA1 发表于 2017-11-9 09:40
你好,确实是nat的问题,已经解决了,现在可以访问内网了,但是还有一个问题,就是ping不通ASA本身的内部 ...

这是出于安全考虑,因为VPN流量在防火墙上终结,那么流量需要从一个接口进去,一个接口出去,才能够监控状态话,自然流量不能在返回来ping自己内网网关。
如果需要网管建议使用MGMT接口,接入到内部的管理网。
当让从outside接口进行管理也是可行的

Yanli Sun
Community Manager
Community Manager
楼主好,友情提醒,如果您的问题已解决,请记得标记最佳答案,这也是对热心解答用户的认可和鼓励哦:handshake
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接