Frage : ASA 5510 VPN DMZ

Alle Grüße,

I geschaut herum und gefunden nicht eine Antwort. So bitte helfen:)

I haben eine ASA 5510 mit IOS 8.2
It hat 3 Schnittstellen, die ich benutze: External, internes, DMZ

All jetzt adaequat seiend, mit lokalem LAN hinter internem, dem Grasen, ftp, etc. lokalem LAN hat 192.168.1.0

I morgens using die ASA für einen Aufstellungsort-zu-Aufstellungsort VPN: auch arbeitend. Dieses VPN lässt den Fernaufstellungsort an unser Segment hinter dem DMZ int.

Also anschließen, die ASA ist unser RA-Kasten, mit Benutzern VPN-ing in es, zum des Zugangs zum LAN hinter dem internen int.

I morgens zu erhalten eine Arbeit zugewiesen mit dem Addieren eines anderen VPN Zugangs - dieses Klienten angefordert malcisco-VPN s, auf einen Bediener hinter das DMZ int.

Have zurückzugreifen bearbeitet mit http://www.petenetlive.com /KB/Article/0000071.htm als Führer. Schrittweisee Anweisungen befolgt, und doch könnte ich Zugang zu dem server.

nicht zuerst mich erhalten erhielt das „Rück-Weg überprüfe ausfallen“ Störung auf Paketindikator, den ich vorübergehend korrigiert, indem ich „IP entfernte, überprüfe, dass Rück-weg Schnittstelle DMZ“ line

im Augenblick, das ich den „Fluss erhalte, durch zusammengebaute Richtlinie verweigert“. , welche Zugangsrichtlinie die Pakete, fallenläßt sein, haben die DMZ implizite Richtlinie, die die Pakete, die verweigert von der Quelle irgendeine zum Bestimmungsort, irgendwelche kommen mit IP service.

I überprüfend den korrekten Wegbefehl, den korrekten eingestellten Config nat0, und doch laufe ich in diesen issue.

Please help.

Relevant Config angebracht. Und, Dank für looking
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
6:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
interface Ethernet0/0
 nameif draußen
 Sicherheitniveau 0
 IP address xxx.xxx.xxx.xxx

Schnittstelle Ethernet0/1
 nameif nach innen
 Sicherheitniveau 100
 IP address 10.0.0.1 255.255.255.0

Schnittstelle Ethernet0/2
 nameif dmz
 Sicherheitniveau 50
 IP address 172.16.2.1 255.255.255.0

Zugangliste dmz_nat0_outbound verlängerte Erlaubnis-IP-Wirt 192.168.9.1 172.16.200.0 255.255.255.0

Zugangliste Client1 Standarderlaubniswirt 192.168.9.1

IP-lokale Lache Restricted_VPN_IP_Pool 172.16.200.1 - 172.16.200.254-Schablone 255.255.255.0

Nationalsteuerung

nationale (dmz) 0 Zugangliste dmz_nat0_outbound
Weg dmz 192.168.9.1 255.255.255.255 172.16.2.2 1

Schlüsselipsec umwandeln-einstellte ESP-3DES-SHA esp-3des esp-sha-hmac te

Gruppepolitik Client1 intern
Gruppepolitik Client1 Attribute
 DNSbediener Wert 192.168.1.2 192.168.1.6
 Vpnfilter Wert Client1
 Vpn-Tunnelprotokoll IPSec
 Zurückfallengebiet Wert company.prv

verschlüsseltes Privileg 0 Kennwortes des username-Client1 xxxxxxxxx
Attribute username-Client1
 Vpn-Gruppepolitik Client1
 Serviceart Fern-zugang

Tunnelgruppe Client1 Art Fern-zugang
Tunnelgruppe Client1 allgemein-zuschreibt t
 Adressierenlache Restricted_VPN_IP_Pool
 Zurückfallen-Gruppepolitik Client1
Tunnelgruppe Client1 ipsec-zuschreibt t
 Vor-teilenschlüssel *

Antwort : ASA 5510 VPN DMZ

normaly verwendet die nationale Politik von der höheren sekniveauschnittstelle zum Tief. das ist, was Sie dieser Warnung erhalten.

 was ich sehen kann, nimmt unsere nationale Politik nicht efect. coz dieses Ihres Bedieners reagiert nicht zurück, da es Weg nicht zu 172.16.200.0 /24 hat.
besser Ihren Weg beheben.

Weitere Lösungen  
 
programming4us programming4us