Pytanie : VPN rozłam tunneling na ASA5510

I być utworzenie mój zapora daleki podłączeniowy VPNs, i I móc rozłam tunneling.  I łączyć, ale być I móc the internet.

Here być mój bieg-config:

: Saved
:
ASA Wersja 8.2 (2)
!
hostname HDH-Cisco5510IPS
domain-name hdh.local
enable hasło TdfwmQA279nt/Kbj encrypted
passwd TdfwmQA279nt/Kbj encrypted
names
name 172.22.13.0 Cloverdale
name 172.22.17.0 Windsor
name 207.65.76.20 Passport
name 172.20.0.56 PalmDrive
name 172.22.15.0 Healdsburg-Ave
name 170.229.11.19 Router--RRMG
dns-guard
!
interface Ethernet0/0
nameif outside
ochrona-zrównywać 0
adres IP 75.144.30.210 255.255.255.248
!
interface Ethernet0/1
shutdown
żadny nameif
żadny ochrona-level
żadny ip address
!
interface Ethernet0/2
shutdown
żadny nameif
żadny ochrona-level
żadny ip address
!
interface Ethernet0/3
nameif inside
ochrona-zrównywać 100
adres IP 170.229.11.6 255.255.240.0
!
interface Management0/0
shutdown
nameif management
ochrona-zrównywać 0
żadny ip address
zarządzanie-only
!
banner nazwa użytkownika Upoważniać Osobisty Tylko!!!
banner nazwa użytkownika Jeżeli ty upoważniać login zadawalać rozłączenie now.
boot system disk0: /asa822-k8.bin
ftp tryb passive
clock timezone PST -8
clock summer-time PDT recurring
dns domena-zwyżkować outside
dns domena-zwyżkować inside
dns serwer-grupować DefaultDNS
wymieniać-serwer 170.229.11.2
wymieniać-serwer 170.229.11.10
domain-name hdh.local
same-security-traffic pozwolenie 192.168.3.226-interface
object-group usługowy MIRTH_LAB_HL7
usługiwać-protestować tcp eq 9443
usługiwać-protestować udp eq 9443
object-group usługowy SMARTNET
usługiwać-protestować tcp eq pcanywhere-dane
usługiwać-protestować udp eq pcanywhere-status
usługiwać-protestować tcp eq ftp
object-group sieć ARUP
sieć-protestować gospodarz 12.10.132.226
sieć-protestować gospodarz 12.10.132.232
object-group protokół TCPUDP
protokół-protestować udp
protokół-protestować tcp
object-group sieć RRMG
sieć-protestować gospodarz 10.10.10.155
sieć-protestować gospodarz 10.10.15.102
sieć-protestować gospodarz 10.10.254.10
sieć-protestować gospodarz 10.2.26.50
sieć-protestować gospodarz 192.168.3.226
sieć-protestować 10.51.100.0 255.255.255.0
access-list outside_access_in komentarz InTouch (Robot)
access-list outside_access_in przedłużyć pozwolenie udp jakaś gospodarz 75.114.30.213 pasmo 9000 9101
access-list outside_access_in komentarz Exchange
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz 75.144.30.213 eq smtp
access-list outside_access_in komentarz Książeczka Zdrowia (SmartNet)
access-list outside_access_in przedłużyć pozwolenie protestować-grupować SMARTNET jakaś gospodarz 75.144.30.212
access-list outside_access_in komentarz Mirth Lab HL7
access-list outside_access_in przedłużyć pozwolenie protestować-grupować MIRTH_LAB_HL7 gospodarz 68.178.199.210 gospodarz 75.114.30.213
access-list outside_access_in przedłużyć pozwolenie protestować-grupować MIRTH_LAB_HL7 gospodarz 209.85.69.25 gospodarz 75.144.30.213
access-list outside_access_in przedłużyć pozwolenie protestować-grupować MIRTH_LAB_HL7 gospodarz 76.230.26.170 gospodarz 75.144.30.213
access-list outside_access_in przedłużyć pozwolenie tcp jakaś interfejs na zewnątrz eq www
access-list outside_access_in przedłużyć pozwolenie tcp jakaś interfejs na zewnątrz eq https
access-list outside_1_cryptomap przedłużyć pozwolenie ip 170.229.0.0 255.255.240.0 Cloverdale 255.255.255.0
access-list inside_nat0_outbound przedłużyć pozwolenie ip 170.229.0.0 255.255.240.0 Cloverdale 255.255.255.0
access-list inside_nat0_outbound przedłużyć pozwolenie ip 170.229.0.0 255.255.240.0 Windsor 255.255.255.0
access-list inside_nat0_outbound przedłużyć pozwolenie ip gospodarz 170.229.11.124 protestować-grupować ARUP
access-list inside_nat0_outbound przedłużyć pozwolenie ip gospodarz 170.229.11.124 gospodarz Paszportowy
access-list inside_nat0_outbound przedłużyć pozwolenie ip 170.229.0.0 255.255.240.0 gospodarz PalmDrive
access-list inside_nat0_outbound przedłużyć pozwolenie ip 170.229.0.0 255.255.240.0 protestować-grupować RRMG
access-list inside_nat0_outbound przedłużyć pozwolenie ip 170.229.0.0 255.255.240.0 Healdsburg-Ave 255.255.255.0
access-list inside_nat0_outbound przedłużyć pozwolenie ip 170.229.0.0 255.255.240.0 170.22.22.0 255.255.255.0
access-list outside_2_cryptomap przedłużyć pozwolenie ip 170.229.0.0 255.255.240.0 Windsor 255.255.255.0
access-list outside_3_cryptomap przedłużyć pozwolenie ip gospodarz 170.229.11.124 protestować-grupować ARUP
access-list outside_4_cryptomap przedłużyć pozwolenie ip gospodarz 170.229.11.124 gospodarz Paszport
access-list outside_5_cryptomap przedłużyć pozwolenie ip 170.229.0.0 255.255.240.0 gospodarz PalmDrive
access-list inside_access_in przedłużyć pozwolenie ip jakaś jakaś
access-list inside_access_in przedłużyć pozwolenie ip 170.22.22.0 255.255.255.0 jakaś
access-list IPS przedłużyć pozwolenie ip jakaś jakaś
access-list IT_splitTunnelAcl standardowy pozwolenie 170.22.22.0 255.255.255.0
pager linia 24
logging enable
logging asdm informational
logging łatwość 17
mtu na zewnątrz 1500
mtu wśrodku 1500
mtu zarządzanie 1500
ip lokalny basen Ono-Gromadzić 172.22.22.1 - 172.22.22.10 maskowy 255.255.255.255
ip weryfikować odwracać-ścieżka interfejs inside
no failover
no monitorować-interface management
icmp maskowy oszacowywać-ograniczać (1) pękać-sortować 1
asdm wizerunek disk0: /asdm-631.bin
no asdm historia enable
arp timeout 14400
global (3:00) (1) interface
nat (3:00) (0) przystępować-spisywać inside_nat0_outbound
nat ((0)) (1) 0.0.0.0 0.0.0.0
static ((0), (0)) 75.144.30.212 170.229.11.200 netmask 255.255.255.255
static ((0), (0)) 75.144.30.211 170.229.11.26 netmask 255.255.255.255
access-group outside_access_in w interfejs outside
access-group inside_access_in w interfejs inside
route na zewnątrz 0.0.0.0 0.0.0.0 75.144.30.214 1
route wśrodku 10.2.26.50 255.255.255.255 Router--RRMG 1
route wśrodku 10.10.10.155 255.255.255.255 Router--RRMG 1
route wśrodku 10.10.15.102 255.255.255.255 Router--RRMG 1
route wśrodku 10.10.254.10 255.255.255.255 Router--RRMG 1
route wśrodku 10.51.1.0 255.255.255.0 Router--RRMG 1
route wśrodku Healdsburg-Ave 255.255.255.0 170.229.11.60 1
route wśrodku 192.168.3.226 255.255.255.255 Router--RRMG 1
timeout xlate 3:00: 00
timeout conn 1:00: 00 półzwarty 0:10: 00 udp 0:02: 00 icmp 0:00: 02
timeout sunrpc 0:10: 00 h323 0:05: 00 h225 1:00: 00 mgcp 0:05: 00 mgcp-klepać 0:05: 00
timeout łyczek 0:30: 00 sip_media 0:02: 00 sączyć-zapraszać 0:03: 00 sączyć-odłączać 0:02: 00
timeout sączyć-prowizoryczny-środek 0:02: 00 uauth 0:05: 00 absolute
timeout tcp-prokurent-reassembly 0:01: 00
dynamic-access-policy-record DfltAccessPolicy
http serwer enable
http 170.229.0.0 255.255.240.0 inside
no snmp-serwer location
no snmp-serwer contact
snmp-server umożliwiać oklepiec snmp uwierzytelnienie linkup linkdown coldstart
crypto ipsec przekształcać-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec przekształcać-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec przekształcać-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec przekształcać-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec przekształcać-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec przekształcać-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec przekształcać-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec przekształcać-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec przekształcać-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec przekształcać-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ochrona-skojarzenie życie sekunda 28800
crypto ipsec ochrona-skojarzenie życie kilobajt 4608000
crypto dynamiczny-kartografować SYSTEM_DEFAULT_CRYPTO_MAP 65535 ustalony pfs group1
crypto dynamiczny-kartografować SYSTEM_DEFAULT_CRYPTO_MAP 65535 ustalony przekształcać-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto mapa outside_map (1) zapałczany adres outside_1_cryptomap
crypto mapa outside_map (1) ustalony pfs group1
crypto mapa outside_map (1) ustalony rówieśnik 70.89.157.158
crypto mapa outside_map (1) ustalony przekształcać-set ESP-3DES-SHA
crypto mapa outside_map 2 zapałczany adres outside_2_cryptomap
crypto mapa outside_map 2 ustalony pfs group1
crypto mapa outside_map 2 ustalony rówieśnik 173.164.155.242
crypto mapa outside_map 2 ustalony przekształcać-set ESP-3DES-MD5
crypto mapa outside_map 3 zapałczany adres outside_3_cryptomap
crypto mapa outside_map 3 ustalony pfs group1
crypto mapa outside_map 3 ustalony rówieśnik 12.10.132.31
crypto mapa outside_map 3 ustalony przekształcać-set ESP-3DES-SHA
crypto mapa outside_map 4 zapałczany adres outside_4_cryptomap
crypto mapa outside_map 4 ustalony pfs group1
crypto mapa outside_map 4 ustalony rówieśnik 207.65.77.135
crypto mapa outside_map 4 ustalony przekształcać-set ESP-3DES-MD5
crypto mapa outside_map 5 zapałczany adres outside_5_cryptomap
crypto mapa outside_map 5 ustalony pfs group1
crypto mapa outside_map 5 ustalony rówieśnik 63.193.20.139
crypto mapa outside_map 5 ustalony przekształcać-set ESP-3DES-SHA
crypto mapa outside_map 65535 ipsec-isakmp dynamiczny SYSTEM_DEFAULT_CRYPTO_MAP
crypto mapa outside_map interfejs outside
crypto ca trustpoint ASDM_TrustPoint0
rekrutacja terminal
poddawać-wymieniać CN= 75.144.30.213, O=North Sonoma Okręg administracyjny Szpitalny Okręg, C=US
keypair VPN
crl configure
crypto isakmp umożliwiać outside
crypto isakmp polisa 5
uwierzytelnienie pre-share
utajnianie 3des
hash sha
grupowy 2
życie 86400
crypto isakmp polisa 10
uwierzytelnienie pre-share
utajnianie des
hash sha
grupowy 2
życie 86400
crypto isakmp polisa 30
uwierzytelnienie pre-share
utajnianie 3des
hash md5
grupowy 2
życie 86400
no vpn-addr-wyznaczać aaa
no vpn-addr-wyznaczać dhcp
telnet 170.229.0.0 255.255.240.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection podstawowy-threat
threat-detection statystyki host
threat-detection statystyki przystępować-list
threat-detection statystyki tcp-przechwytywać oszacowywać-interwał 30 pękać-oszacowywać 400 wypośrodkowywać-oszacowywać 200
webvpn
anyconnect-essentials
group-policy ONO internal
group-policy ONO attributes
dns-serwer wartość 170.229.11.2 170.229.11.10
vpn-tunnel-protokół IPSec
rozłam-tunnel-polisa tunnelspecified
rozłam-tunnel-sieć-spisywać wartość IT_splitTunnelAcl
default-domena wartość hdh.local
username mmcjilton hasło Gbr1LgkU8cAKX5Pp utajniać przywilej 15
username gcrossan hasło MgXqpsHooqyWk.LK utajniać przywilej 0
username gcrossan attributes
vpn-grupować-polisa IT
username clindell hasło bLTxyxQHPMK2XH77 utajniać przywilej 0
username clindell attributes
vpn-grupować-polisa IT
tunnel-group 70.89.157.158 typ ipsec-l2l
tunnel-group 70.89.157.158 ipsec-attributes
 pre-dzielić-wpisywać *****
tunnel-group 173.164.155.242 typ ipsec-l2l
tunnel-group 173.164.155.242 ipsec-attributes
pre-dzielić-wpisywać *****
tunnel-group 12.10.132.31 typ ipsec-l2l
tunnel-group 12.10.132.31 ipsec-attributes
pre-dzielić-wpisywać *****
tunnel-group 207.65.77.135 typ ipsec-l2l
tunnel-group 207.65.77.135 ipsec-attributes
pre-dzielić-wpisywać *****
tunnel-group 63.193.20.139 typ ipsec-l2l
tunnel-group 63.193.20.139 ipsec-attributes
pre-dzielić-wpisywać *****
tunnel-group ONO typ pilot-access
tunnel-group ONO ogólny-attributes
adresować-gromadzić Ono-Pool
default-grupować-polisa IT
tunnel-group ONO ipsec-attributes
pre-dzielić-wpisywać *****
!
class-map globalny-class
zapałczany any
!
!
policy-map globalny-policy
klasowy globalny-class
ips globalny nie udać się-otwierać czujnik vs0
policy-map typ sprawdzać dns migrated_dns_map_1
parameters
wiadomość-długość maksymalny klient auto
wiadomość-długość maksimum 512
!
service-policy globalny-polisa global
prompt hostname kontekst
call-home
profilowy CiscoTAC-1
żadny active
miejsce przeznaczenia adres http https://tools.cisco.com/it s/service/oddce/services/DDCEService
miejsce przeznaczenia adres email [email protected]
miejsce przeznaczenia odtransportowywać-metoda http
prenumerować--ostrzegać-grupować diagnostic
prenumerować--ostrzegać-grupować environment
prenumerować--ostrzegać-grupować inwentarzowy okresowy monthly
prenumerować--ostrzegać-grupować konfiguracja okresowy monthly
prenumerować--ostrzegać-grupować telemetria okresowy daily
Cryptochecksum: 64648ac01f251dd2b3d5650664dac2a0
: end
asdm wizerunek disk0: /asdm-631.bin
asdm lokacja Cloverdale 255.255.255.0 inside
asdm lokacja Windsor 255.255.255.0 inside
asdm lokacja 12.10.132.226 255.255.255.255 inside
asdm lokacja 12.10.132.232 255.255.255.255 inside
asdm lokacja Paszportowy 255.255.255.255 inside
asdm lokacja PalmDrive 255.255.255.255 inside
asdm lokacja Healdsburg-Ave 255.255.255.0 inside
asdm lokacja Router--RRMG 255.255.255.255 inside
asdm lokacja 170.22.22.0 255.255.255.0 inside
no asdm historia enable

Odpowiedź : VPN rozłam tunneling na ASA5510

ok jeżeli to być the skrzynka
twój rozszczepiony tunel musieć jak to

żadny przystępować-spisywać IT_splitTunnelAcl standardowy pozwolenie 170.229.0.0 255.255.240.0 wcale
przystępować-spisywać IT_splitTunnelAcl standardowy pozwolenie gospodarz 0.0.0.0
grupować-polisa ONO przypisywać
 żadny rozłam-tunnel-polisa tunnelspecified
 żadny rozłam-tunnel-sieć-spisywać wartość IT_splitTunnelAcl
rozłam-tunnel-polisa excludespecified
rozłam-tunnel-sieć-spisywać wartość IT_splitTunnelAcl

+ ty musieć the miejscowy lan dostęp w klient widzieć imange

pozwalać the status