Frage : Wie schließe ich an einen Bediener Windows-VPN durch Cisco ASA 5505 an?

Ich habe Cisco ASA5505 für ein kleines Büronetz. Wir haben einen Kunden, der einen Bediener der Fenster VPN hat, den wir anschließen müssen an. Ich habe Lose Forumpfosten über die Notwendigkeit, den Verkehr GRE47 am pptp Verkehr zu binden gelesen, indem ich den Untersuchung pptp Befehl verwendete. Ich habe dieses kontrolliere zusammengebaut, aber ich kann nicht an das VPN noch anschließen, weiß ich, dass das VPN arbeitet, als ob ich die 5505 überbrücke, die alles bearbeitet, da es should.

I die Pakete using Wireshark kontrolliert hat und der Bediener und der Klient sprechen, aber der Klient nie eine Antwort zum PPP LCP zusammenbauen Antrag und schließlich timesout erhält. Der Klient ist die Pro Fenster 7, aber ich habe an eine XP Maschine versucht und die gleiche Antwort erhalte. Jedermann erhielt alle mögliche Ideen?

Here ist mein (sanierter) Ciscoconfig:

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
6:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
90:
91:
92:
93:
94:
95:
96:
97:
98:
99:
100:
101:
102:
103:
104:
105:
106:
107:
108:
109:
110:
111:
112:
113:
114:
115:
116:
117:
118:
119:
120:
121:
122:
123:
124:
125:
126:
127:
128:
129:
130:
131:
132:
133:
134:
135:
136:
137:
138:
139:
140:
141:
142:
143:
144:
145:
146:
147:
148:
149:
150:
151:
152:
153:
154:
155:
156:
157:
158:
159:
160:
161:
162:
163:
164:
165:
166:
167:
168:
169:
170:
ASA Version 7.2 (4) 
!
hostname myhost
Domain Name mycompany.com
dem verschlüsselten Kennwort ****** ermöglichen
Passwd ******* verschlüsselte
Namen
Namensxxx.xxx.xxx.xxx Machine1
Namensxxx.xxx.xxx.xxx Machine2
Namensxxx.xxx.xxx.xxx SERVER1
Namensxxx.xxx.xxx.xxx SERVER2
Namensxxx.xxx.xxx.xxx CustomerVPNServer
DNS-schützen
!
Vlan1 anschließen
 nameif nach innen
 Sicherheitniveau 100
 IP address 192.168.0.1 255.255.255.0 
!
Schnittstelle Vlan2
 nameif draußen
 Sicherheitniveau 0
 IP address OfficeExternalIP 255.255.255.192 
!
Schnittstelle Vlan3
 keine Vorwärtsschnittstelle Vlan1
 nameif dmz
 Sicherheitniveau 50
 kein IP address
!
Schnittstelle Ethernet0/0
 Switchportzugang vlan 2
!
Schnittstelle Ethernet0/1
!
Schnittstelle Ethernet0/2
!
Schnittstelle Ethernet0/3
!
Schnittstelle Ethernet0/4
!
Schnittstelle Ethernet0/5
!
Schnittstelle Ethernet0/6
!
Schnittstelle Ethernet0/7
!
ftp-Moduspassives
Taktgeber Timezone GMT/BST 0
Taktgebersommerzeit GMT/BDT wiederkehrendes letztes Sun 1. März: 00 letztes Sun 2. Oktober: 00
DNS Bedienergruppe DefaultDNS
 Domain Name mycompany.com
Gegenstandgruppe Netz Kunde
 Beschreibung erlaubt Kunden, an uns anzuschließen.
 Netzgegenstand Wirt Machine1
Gegenstandgruppe Netz LOCALGROUP
 Netzgegenstand Wirt Machine2
 Netzgegenstand Wirt SERVER1
 Netzgegenstand Wirt SERVER2
Gegenstandgruppe Netz DM_INLINE_NETWORK_1
 Gruppegegenstand Kunde
 Gruppegegenstand MYCOMPANY
Gegenstandgruppe Service RemoteDesktop TCP
 Beschreibung Ferntischplattenanschluß
 Hafengegenstand eq 3389
Gegenstandgruppe Service SQLServer TCP
 Beschreibung erlaubt Anschluss zum SQL-Server
 Hafengegenstand eq 1433
Gegenstandgruppe Netz DM_INLINE_NETWORK_2
 Gruppegegenstand Kunde
 Gruppegegenstand MYCOMPANY
Zugangliste outside_access_in Anmerkung-HTTP-Zugang gewährte
Zugangliste outside_access_in verlängerte Erlaubnis-TCP jedes mögliches Wirt MYCOMPANYOfficeInternal eq WWW 
Zugangliste outside_access_in Anmerkung https greifen gewährt zurück
Zugangliste outside_access_in verlängerte Erlaubnis-TCP alle mögliche Wirt MYCOMPANYOfficeInternal eq https 
Zugangliste outside_access_in Anmerkung erlaubt ankommenden Ferntischplattenanschluß
Zugangliste outside_access_in verlängerte Erlaubnis-TCP Gegenstandgruppe MYCOMPANY Wirt MYCOMPANYOfficeInternal Gegenstandgruppe RemoteDesktop 
Zugangliste outside_access_in Anmerkung erlaubt Anschlüsse zum SQL-Server
Zugangliste outside_access_in verlängerte Erlaubnis-TCP Gegenstandgruppe DM_INLINE_NETWORK_1 Wirt MYCOMPANYOfficeInternal Gegenstandgruppe SQLServer 
Zugangliste inside_access_in verlängertes Erlaubnis-IP, das irgendwie irgendein ist 
Zugangliste outside_in verlängerte Erlaubnis-ICMP, das alle mögliche irgendwelche Echo-antworten 
Zugangliste outside_access_in_1 verlängerte Erlaubnis-TCP Gegenstandgruppe DM_INLINE_NETWORK_2 Wirt MYCOMPANYOfficeInternal eq WWW 
Zugangliste outside_access_in_2 Anmerkung-HTTP-Zugang gewährte
Zugangliste outside_access_in_2 verlängerte Erlaubnis-TCP jedes mögliches irgendein eq WWW 
Zugangliste outside_access_in_2 Anmerkung https greifen gewährt zurück
Zugangliste outside_access_in_2 verlängerte Erlaubnis-TCP alle mögliche irgendwelche eq https 
Zugangliste outside_access_in_2 Anmerkung lässt Machine1 über Fernschreibtisch anschließen
Zugangliste outside_access_in_2 verlängerte Erlaubnis-TCP-Wirt Machine2 irgendeine Gegenstandgruppe RemoteDesktop 
Zugangliste outside_access_in_2 verlängerte Erlaubnis-TCP-Wirt CustomerVPNServer jedes mögliches eq pptp 
Pagerlinien 24
die Protokollierung ermöglichen
loggenasdm informierend
MTU innerhalb 1500
MTU außerhalb 1500
MTU dmz 1500
ICMP unerreichbare Ratebegrenzung 1 Berstengröße 1
asdm Bild disk0: /asdm-524.bin
keine asdm Geschichte ermöglichen
arp-Abschaltung 14400
globale (nach innen) 1 Schnittstelle
globale (draußen) 1 Schnittstelle
nationales (nach innen) 1 0.0.0.0 0.0.0.0
statisches (nach innen, draußen) Schnittstelle MYCOMPANYOfficeInternal netmask 255.255.255.255 
Zuganggruppe inside_access_in in der Schnittstelle nach innen
Zuganggruppe outside_access_in_2 in der Schnittstelle draußen
hergestellter TCP 0 0
hergestelltes UDP 0 0
äußeres 0.0.0.0 0.0.0.0 des Weges  1
TIMEOUTxlate 3:00: 00
TIMEOUTanschl.-1:00: 00 halbgeschlossenes 0:10: 00 UDP-0:02: 00 ICMP-0:00: 02
TIMEOUTsunrpc 0:10: 00 0:05 h323: 00 1:00 h225: 00 mgcp 0:05: 00 Mgcpklaps 0:05: 00
TIMEOUTSchlückchen-0:30: 00 sip_media 0:02: 00 nippen-laden 0:03 ein: 00 nippen-trennen 0:02: 00
TIMEOUTc$nippen-provisorischmittel 0:02: 00 uauth 0:05: Absolutes 00
HTTP-Bediener ermöglichen
HTTP MYCOMPANYOfficeInternal 255.255.255.255 draußen
HTTP 192.168.0.0 255.255.255.0 draußen
HTTP 192.168.0.118 255.255.255.255 draußen
HTTP 192.168.0.0 255.255.255.0 nach innen
HTTP 192.168.0.118 255.255.255.255 nach innen
HTTP 192.168.1.0 255.255.255.0 nach innen
keine SNMPbediener Position
kein SNMPbediener Kontakt
SNMPbediener ermöglichen Blockiersnmp-Authentisierungsverbindung linkdown coldstart
telnet-Abschaltung 5
ssh 192.168.0.0 255.255.255.0 nach innen
ssh 192.168.0.100 255.255.255.255 nach innen
ssh Abschaltung 5
Konsolenabschaltung 0
Managementzugang nach innen
dhcpd DNS 
dhcpd auto_config draußen
!
dhcpd Adresse 192.168.0.100 - 192.168.0.250 nach innen
dhcpd DNS  Schnittstelle nach innen
dhcpd ermöglichen nach innen
!

Tftpbediener innerhalb 192.168.0.100 C:\TFTP\ASAConfig
username MYCOMPANY nopassword
!
Kategoriediagramm inspection_default
 Gleiches Zurückfallen-Kontrolleverkehr
!
!
Politikdiagramm Art kontrollieren DNS preset_dns_map
 Parameter
  Mitteilunglänge Maximum 512
Politikdiagramm global_policy
 Kategorie inspection_default
  DNS preset_dns_map kontrollieren 
  ftp kontrollieren 
  h323 h225 kontrollieren 
  ras h323 kontrollieren 
  Rsh kontrollieren 
  rtsp kontrollieren 
  esmtp kontrollieren 
  sqlnet kontrollieren 
  dünnes kontrollieren 
  sunrpc kontrollieren 
  xdmcp kontrollieren 
  Schlückchen kontrollieren 
  Netbios kontrollieren 
  tftp kontrollieren 
  pptp kontrollieren 
  ipsec-überschreiten-durch kontrollieren 
!
Servicepolitik global_policy global
sofortiger hostnamezusammenhang 
Cryptochecksum: xxxxxxxxxxxxxxxxxxxxxxxxx
: Ende

Antwort : Wie schließe ich an einen Bediener Windows-VPN durch Cisco ASA 5505 an?

In Ihren Config - Sie „irgendein“ auf dem Bestimmungsort für RemoteDesktop und pptp (und jetzt gre). In Ihrem Static (nach innen, draußen) beziehen Sie „MYCOMPANYOfficeInternal“

Zu ist es der gleiche Bediener, der Ihr laufen lässt RRAS, das, was Sie Ferndesktopping sind? Wenn nicht Sie Ihre statischen (nach innen, draußen) Aussagen abstimmen müssen, weil Sie alle erlaubten Häfen auf MYCOMPANYOfficeInternal IP address verweisen.

Dieses ersetzt, was Ihr bereits tun:
statisches (nach innen, draußen) TCP-Schnittstellen-WWW MYCOMPANYOfficeInternal WWW netmask 255.255.255.255 0 0
statisches (nach innen, draußen) TCP-Schnittstelle https MYCOMPANYOfficeInternal https netmask 255.255.255.255 0 0
statisches (nach innen, draußen) TCP-Schnittstelle 3389 MYCOMPANYOfficeInternal 3389 netmask 255.255.255.255 0 0


Wenn Sie einen anderen Bediener bei RRASServerIP es definieren und hinzufügen lassen
statisches (nach innen, draußen) TCP-Schnittstelle pptp RRASServerIP pptp netmask 255.255.255.255 0 0
statisches (nach innen, draußen) gre Schnittstelle RRASServerIP netmask 255.255.255.255 0 0

Wenn es nicht ein anderes IP als ist, was Ihr anderes NATs gehen, dieses zu ignorieren und mich informierten.

Viel Glueck

Weitere Lösungen  
 
programming4us programming4us