Vraag : Cisco 5505 vpncliënt verbindt, maar geen toegang.

de 5505 werken zuiveren van binnenuit als Internet router. Stelde de Tovenaar VPN in werking. Nu kan ik het gebruiken van de cisco vPN-Cliënt verbinden. Ik gebruik Versie 4.7. Het probleem is ik kan niet om het even wat op de binnenkant pingelen. Geprobeerde binneninterface op de router, en andere machines op binnenlan. Config zoals hieronder, buitendieIP als *.*.* wordt gemaskeerd. '. Tevreden help.


: Saved
:
ASA Versie 7.2 (4)
!
hostname ciscoasa
domain-name default.domain.invalid
enable wachtwoord e6IG26r0yJuKiPvk encrypted
passwd 2KFQneNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
veiligheid-niveau 100
ip adres 192.168.1.1 255.255.255.0
! /> nameif outside
veiligheid-niveau
interface Vlan2
ip adres *.*.*.* 255.255.255.248
!
interface Vlan3
geen voorwaarts interfaceVlan1
nameif dmz
veiligheid-niveau 50
geen ip address
!
interface Ethernet0/0
switchport toegang vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp wijze passive
dns de domein-naam default.domain.invalid
/>same-security-traffic- vergunnings intra-intra-interface
access-list inside_nat0_outbound uitgebreide vergunning ip om het even welke 192.168.1.48 255.255.255.240
access-list inside_nat0_outbound uitgebreide vergunningsip 192.168.115.0 255.255.255.0 192.168.1.48 255.255.255.240
access-list inside_nat0_outbound uitgebreide vergunning ip om het even welke 192.168.5.48 255.255.255.240
pager lijnen 24
logging asdm informational
mtu binnen 1500
mtu buiten 1500
mtu dmz 1500
ip lokale pooltietopool 192.168.5.50 - 192.168.5.60 masker255.255.255.0
icmp onbereikbare tarief-grens 1 uitbarsting-grootte 1
asdm beeld disk0: /asdm-524.bin
no asdm geschiedenis enable
arp onderbreking 14400
global (buiten) 1 interface
nat (binnen) 0 toegang-lijst inside_nat0_outbound
nat (binnen) 1 0.0.0.0 0.0.0.0
route binnen 192.168.115.0 255.255.255.0 192.168.1.2 1
route buiten 0.0.0.0 0.0.0.0 *.*.*.* 1
!
router rip
!xlate 3:00
timeout: conn 1:00 00
timeout: 00 half-closed 0:10: 00 udp0:02: 00 icmp0:00: sunrpc 0:10 02
timeout: 00 h323 0:05: 00 h225 1:00: 00 mgcp0:05: 00 mgcp-klopje0:05: 00
timeout slokje0:30: 00 sip_media0:02: 00 slokje-nodigen 0:03 uit: 00 slokje-maken 0:02 los: slokje-voorlopig-middelen 00
timeout 0:02: 00 uauth0:05: 00 laat de SNMP-server van de absolute
http server enable
http 192.168.115.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
no location
no de SNMP-server contact
snmp-server van de de authentificatieverbinding van vallenSNMP in het bijzonder -in het bijzonder-sha-hmac de transformatie-vastgestelde in het bijzonder-3des-SHA in het bijzonder-3des
crypto dynamisch-kaart/>crypto toe ipsec outside_dyn_map 20 reeks pfs group1
crypto dynamisch-kaart linkdown coldstart
crypto dynamisch-kaart outside_dyn_map 40 dynamisch-kaart outside_dyn_map 60 reeks pfs group1
crypto dynamisch-kaart outside_dyn_map 60 dynamisch-kaart outside_dyn_map 80 reeks pfs van reeks de transformatie-vastgestelde in het bijzonder-3DES-SHA
crypto van reeks de transformatie-vastgestelde in het bijzonder-3DES-SHA
crypto van reeks de transformatie-vastgestelde in het bijzonder-3DES-SHA
crypto dynamisch-kaart group1
crypto outside_dyn_map 80 reeks transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 100 pfs group1
crypto dynamic-map outside_dyn_map 100 plaatste transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 120 plaatste pfs group1
crypto dynamic-map outside_dyn_map 120 plaatste transform-set kaart ESP-3DES-SHA
crypto plaatste outside_map 65535 de kaart outside_map interface outside
crypto van ipsec-isakmp laat de dynamische outside_dyn_map
crypto isakmp outside
crypto isakmp van de de encryptie3des
knoeiboel van de beleids10
authentificatie de pre-share van het de groeps2
leven 86400
van de het beleids30
authentificatie/>crypto isakmp van de de encryptie3des
knoeiboel crack
van het de groeps2
leven 86400
onderbreking van de de onderbrekings5
ssh onderbreking 5
console/>crypto isakmp nationaal-traversal 30
telnet 0
dhcpd auto_config outside
toe!
dhcpd adres 192.168.1.20 - 192.168.1.50 inside
dhcpd dns 195.159.0.100 195.159.0.200 de interface inside
dhcpd huur 86400 interface inside
dhcpd laat inside
toe! tietogroup attributes
dns-server

group-policy tietogroup internal
group-policy waarde192.168.115.40
van het tietowachtwoord van vpn-tunnel-protocolIPSec
username van het voorrecht0
username tieto LPk9P32ZCXmyVNxz gecodeerd vpn-groep-beleids tietogroup
tunnel-group attributes
ipsec-ra
tunnel-group tietogroup het algemeen-attributes adres-pool tietopool
gebrek-groep-beleid tietogroup
tunnel-group tietogroup ipsec-attributes
pre-delen-zeer belangrijke *
!
class-map inspection_default
gelijke gebrek-inspectie/>
!
! het type
policy-map inspecteert dns preset_dns_map
parameters
bericht-lengte de maximum512
policy-map global_policy
klasse inspection_default
dns preset_dns_map
inspecteert FTP
inspecteert h323 h225
inspecteert h323 ras
inspecteert rsh
inspecteert rtsp
inspecteert esmtp
inspecteert sqlnet
inspecteert magere
inspecteert sunrpc
inspecteert xdmcp
inspecteert slokje
inspecteert netbios
inspecteert tftp
inspecteert!
service-policy global_policy global
prompt hostname context
Cryptochecksum: 0eeccd37b0216e3f5498a978a912eb22
: end
asdm beeld disk0: /asdm-524.bin
no asdm geschiedenis enable

Antwoord : Cisco 5505 vpncliënt verbindt, maar geen toegang.

geen behoefte toe te laten SCHEURT voor het verpletteren
de statische route is genoeg

van showcrypto ipsec sa kan ik zien dat de pakketten uit cliënt komen en onze ASA het decapsulating, maar er is geen antwoord.

maak om het even welke firewall i n 192.168.1.20 onbruikbaar en probeer ping.

deed u toepassen onderstaande configs in asa (enkel voor mijn kennis)

de toegang-lijst Spleet breidde vergunning ip 192.168.1.0 255.255.255.0 om het even welk uit
de toegang-lijst Spleet breidde vergunning ip 192.168.115.0 255.255.255.0 om het even welk uit
groep-beleid tietogroup_1 attributen
het spleet-tunnel-beleid tunnelspecified
spleet-tunnel-netwerk-lijst waardeSpleet