请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 289|回复: 6

ASA5505 SSLVPN客户端拨号成功,但访问不了总部内网

[复制链接]
发表于 2017-11-7 10:31:31 | 显示全部楼层 |阅读模式
2可用金钱

总部asa5505VPN配置完成以后,客户端远程可以拨号到总部5505,但是访问不了总部内网,只能ping通总部网关,ping不通内部地址,内网地址是4.0网段的,vpn分配地支池是44.0段的

ip local pool vpn 172.20.44.100-172.20.44.200 mask 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3

!
interface Vlan1
nameif inside
security-level 100
ip address 172.20.4.1 255.255.255.0 内网地址
!
interface Vlan2
nameif outside
security-level 0
ip address x.x.x.x   x.x.x.x 外网网关
!
interface Vlan3
no nameif
security-level 100
no ip address
!
ftp mode passive
clock timezone CST 8
object network in
subnet 172.20.4.0 255.255.255.0
access-list 102 extended permit ip any any
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network in
nat (inside,outside) dynamic interface
access-group 102 in interface outside
route outside 0.0.0.0 0.0.0.0 222.91.127.109 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http server enable 500
http 172.20.4.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint ASDM_TrustPoint0
enrollment terminal
subject-name CN=222.91.127.110,O=Essex,C=CN
crl configure
crypto ca trustpool policy
telnet timeout 5
no ssh stricthostkeycheck
ssh 172.20.4.0 255.255.255.0 inside
ssh timeout 30
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0

dhcpd dns 61.134.1.4 218.30.19.40
!            
dhcpd address 172.20.4.100-172.20.4.250 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.1.05187-k9.pkg 1
anyconnect enable
group-policy anyconnect internal
group-policy anyconnect attributes
vpn-tunnel-protocol ssl-client ssl-clientless
address-pools value vpn
username admin password f3UhLvUj1QsXsuK7 encrypted privilege 15
username EssexVPN2 password 3QaE0K2Bfwsb.fdh encrypted
username EssexVPN2 attributes
vpn-group-policy anyconnect
username EssexVPN1 password JlHRhsYnAnFL80q8 encrypted
username EssexVPN1 attributes
vpn-group-policy anyconnect
username essex password 1x7at4eaNk.TMe2m encrypted privilege 15
tunnel-group SSLPRO type remote-access
tunnel-group SSLPRO general-attributes
address-pool vpn
default-group-policy anyconnect
tunnel-group SSLPRO webvpn-attributes
group-alias SSLPRO enable
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
  inspect ip-options

最佳答案

查看完整内容

你的anyconnect 配置有两个地方配置错误 1.没有配置隧道分割 Access-list tunnel_split permit ip 172.20.4.0 255.255.255.0 any 然后在group-policy下调用 group-policy anyconnect attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value tunnel-split 2.没有配置NAT旁路 (因为你的outside接口配置了NAT) object network anyconnect subnet 172.20.44.0 255.255.255.0 nat (inside,out ...
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-11-7 10:31:32 | 显示全部楼层
你的anyconnect 配置有两个地方配置错误
1.没有配置隧道分割
Access-list tunnel_split permit ip 172.20.4.0 255.255.255.0 any
然后在group-policy下调用
group-policy anyconnect attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value tunnel-split

2.没有配置NAT旁路 (因为你的outside接口配置了NAT)
object network anyconnect
subnet 172.20.44.0 255.255.255.0
nat (inside,outside) source static in in destination static anyconnect anyconnect
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2017-11-7 13:26:59 | 显示全部楼层
NAT 豁免没做,VPN流量和内网流量之间
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-11-7 13:57:05 | 显示全部楼层
在你的ASA上使用packet-tracer,检查到达目标路由期间经过哪个协议出现了问题。做一个自检。
再检查配置。建议使用ASDM进行配置。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2017-11-9 09:40:00 | 显示全部楼层
arvinjing 发表于 2017-11-7 15:58
你的anyconnect 配置有两个地方配置错误
1.没有配置隧道分割
Access-list tunnel_split permit ip 172.20 ...

你好,确实是nat的问题,已经解决了,现在可以访问内网了,但是还有一个问题,就是ping不通ASA本身的内部网关地址4.1,其它的4.2  4.3 等等都能ping通,难道是sslvpn不能管理防火墙本身吗?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-11-9 10:48:55 | 显示全部楼层
XUEHAIWUYA1 发表于 2017-11-9 09:40
你好,确实是nat的问题,已经解决了,现在可以访问内网了,但是还有一个问题,就是ping不通ASA本身的内部 ...

这是出于安全考虑,因为VPN流量在防火墙上终结,那么流量需要从一个接口进去,一个接口出去,才能够监控状态话,自然流量不能在返回来ping自己内网网关。
如果需要网管建议使用MGMT接口,接入到内部的管理网。
当让从outside接口进行管理也是可行的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2017-11-13 15:08:06 | 显示全部楼层
楼主好,友情提醒,如果您的问题已解决,请记得标记最佳答案,这也是对热心解答用户的认可和鼓励哦
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2017-12-15 00:54 , Processed in 0.089576 second(s), 44 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表