Frage : Cisco 5505 vpn Klient schließt, aber kein Zugang an.

5505 Arbeiten fein als Internet-Fräser von innen. Ließ den VPN Zauberer laufen. Jetzt kann ich using den Cisco VPN-Klienten anschließen. Ich verwende Version 4.7. Problem ist ich kann ping nicht alles auf dem Innere. Versuchte innere Schnittstelle auf dem Fräser und andere Maschinen auf dem inneren lan. Config als unten, äußeres IP maskiert als *.*.*. '. Bitte help.


: Saved
:
ASA Version 7.2 (4)
!
hostname ciscoasa
domain-name default.domain.invalid
enable Kennwort e6IG26r0yJuKiPvk encrypted
passwd 2KFQneNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
Sicherheitniveau 100
IP- address192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
Sicherheitniveau 0
IP address *.*.*.* 255.255.255.248
!
interface Vlan3
kein Vorwärtsschnittstelle Vlan1
nameif dmz
Sicherheitniveau 50
kein IP address
!
interface Ethernet0/0
Switchportzugang vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp Modus passive
dns Bedienergruppe DefaultDNS
des Domain Name default.domain.invalid
same-security-traffic zeichnet Intra-interface
access-list inside_nat0_outbound verlängertes Erlaubnis-IP der Erlaubnis jedes mögliches 192.168.1.48 255.255.255.240
access-list inside_nat0_outbound verlängerte Erlaubnis-IP 192.168.115.0 255.255.255.0 192.168.1.48 255.255.255.240
access-list inside_nat0_outbound verlängerte Erlaubnis-IP irgendein 192.168.5.48 255.255.255.240
pager 24
logging asdm informational
mtu innerhalb 1500
mtu außerhalb des 1500
mtu dmz 1500
ip lokale Lache tietopool 192.168.5.50 - 192.168.5.60-Schablonen-255.255.255.0
icmp des unerreichbaren Ratebegrenzung 1 Berstengröße 1
asdm Bildes disk0: /asdm-524.bin
no asdm Geschichte enable
arp Abschaltung 14400
global (draußen) 1 interface
nat (nach innen) 0 Zugangliste inside_nat0_outbound
nat (nach innen) 1 0.0.0.0 0.0.0.0
route innerhalb 192.168.115.0 255.255.255.0 192.168.1.2 1
route außerhalb 0.0.0.0 0.0.0.0 *.*.*.* 1
!
router rip
!
timeout xlate 3:00: 00
timeout Anschl.-1:00: 00 halbgeschlossenes 0:10: 00 UDP-0:02: 00 ICMP-0:00: 02
timeout sunrpc 0:10: 00 0:05 h323: 00 1:00 h225: 00 mgcp 0:05: 00 Mgcpklaps 0:05: 00
timeout Schlückchen-0:30: 00 sip_media 0:02: 00 nippen-laden 0:03 ein: 00 nippen-trennen 0:02: 00
timeout Nippen-provisorischmittel 0:02: 00 uauth 0:05: 00 ermöglichen absolute
http Bediener enable
http 192.168.115.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
no SNMPbediener location
no SNMPbediener contact
snmp-server Fallen, SNMP-Authentisierungsverbindung linkdown coldstart
crypto, das ipsec ESP-3DES-SHA esp-3des esp-sha-hmac
crypto Dynamischdiagramm outside_dyn_map 20 gesetzte pfs umwandeln-einstellte, group1
crypto Dynamischdiagramm outside_dyn_map 20 Satz ESP-3DES-SHA
crypto Dynamischdiagramm outside_dyn_map 40 gesetzte pfs umwandeln-einstellte, group1
crypto Dynamischdiagramm outside_dyn_map 40 Satz ESP-3DES-SHA
crypto Dynamischdiagramm outside_dyn_map 60 gesetzte pfs umwandeln-einstellte, group1
crypto Dynamischdiagramm outside_dyn_map 60 Satz ESP-3DES-SHA
crypto Dynamischdiagramm outside_dyn_map 80 gesetzte pfs umwandeln-einstellte, group1
crypto Dynamischdiagramm outside_dyn_map 80 Satz ESP-3DES-SHA
crypto Dynamischdiagramm outside_dyn_map 100 gesetzte pfs umwandeln-einstellte, group1
crypto Dynamischdiagramm outside_dyn_map 100 Satz ESP-3DES-SHA
crypto Dynamischdiagramm outside_dyn_map 120 gesetzte pfs umwandeln-einstellte, group1
crypto Dynamischdiagramm outside_dyn_map 120 Satz ESP-3DES-SHA
crypto Diagramm umwandeln-einstellte outside_map 65535 ipsec-isakmp ermöglichen dynamisches outside_dyn_map
crypto Diagramm outside_map Schnittstelle outside
crypto isakmp pre-share
Authentisierung der outside
crypto isakmp Politik 10
sha
Durcheinander der Verschlüsselung 3des
crack
Authentisierung der Politik 30
isakmp Lebenszeit 86400
crypto der Gruppe 2
sha
Durcheinander der Verschlüsselung 3des
outside
auto_config TIMEOUT 0
dhcpd des TIMEOUT 5
console des TIMEOUT 5
ssh des NationalTraversal 30
telnet isakmp Lebenszeit 86400
crypto der Gruppe 2
!
dhcpd Adresse 192.168.1.20 - Schnittstelle inside
dhcpd der 192.168.1.50 inside
dhcpd DNS 195.159.0.100 195.159.0.200 Schnittstelle inside
dhcpd Miete 86400 ermöglichen inside
!

group-policy tietogroup internal
group-policy tietogroup attributes
DNSbediener Wert-192.168.115.40
Vpn-Tunnelprotokoll IPSec
username tieto Kennwort LPk9P32ZCXmyVNxz verschlüsselte Privileg 0
username tieto attributes
Vpn-Gruppepolitik tietogroup
tunnel-group tietogroup Art ipsec-ra
tunnel-group tietogroup allgemeines-attributes
Adressierenlache tietopool
Zurückfallen-Gruppepolitik tietogroup
tunnel-group tietogroup ipsec-attributes
Vor-teilenschlüssel *
!
class-map inspection_default
Gleiches Zurückfallenkontrolle-traffic
!
!
policy-map Art kontrollieren DNS preset_dns_map
parameters
Mitteilunglänge Maximum 512
policy-map global_policy
Kategorie, die inspection_default
DNS preset_dns_map
kontrollieren ftp
kontrollieren h323 h225
kontrollieren ras h323 kontrollieren,
Rsh
kontrollieren rtsp
kontrollieren esmtp
kontrollieren sqlnet
kontrollieren dünnes
kontrollieren sunrpc
kontrollieren xdmcp
kontrollieren Schlückchen
kontrollieren Netbios
kontrollieren tftp
kontrollieren!
service-policy global_policy global
prompt hostname-Zusammenhang
Cryptochecksum: 0eeccd37b0216e3f5498a978a912eb22
: end
asdm Bild disk0: /asdm-524.bin
no asdm Geschichte enable

Antwort : Cisco 5505 vpn Klient schließt, aber kein Zugang an.

keine Notwendigkeit, RISSE für die Wegewahl zu ermöglichen
statischer Weg ist genug

von Erscheinen Schlüsselipsec sa kann ich sehen, dass Pakete vom Klienten kommen und unsere ASA es decapsulating, aber es keine Antwort gibt.

jede mögliche Brandmauer I n 192.168.1.20 sperren und Klingeln versuchen.

tat u anwenden die below configs in ASA (gerade für mein Wissen)

Zugangliste aufgeteiltes ausgedehntes Erlaubnis-IP 192.168.1.0 255.255.255.0 irgendwie
Zugangliste aufgeteiltes ausgedehntes Erlaubnis-IP 192.168.115.0 255.255.255.0 irgendwie
Gruppepolitik tietogroup_1 Attribute
Aufspalten-Tunnelpolitik tunnelspecified
Aufspalten-Tunnel-Netzliste Wert Spalte