Pergunta : Separação de VPN que escava um túnel o trabalho em ASA5510

Eu setting-up meu guarda-fogo para aceitar a conexão remota VPNs, e eu não posso começ escavação de um túnel rachada a trabalhar.  Eu coneto, mas conetado uma vez eu não posso consultar o internet.

Here sou meu funcionar-config:

: Saved
:
da versão 8.2 do
ASA (2)! encrypted
names
name 172.22.13.0 Cloverdale
name 172.22.17.0 Windsor
name 207.65.76.20 Passport
name 172.20.0.56 PalmDrive
name 172.22.15.0 Healdsburg-Ave
name 170.229.11.19 do encrypted
passwd TdfwmQA279nt/Kbj da senha TdfwmQA279nt/Kbj do
hostname HDH-Cisco5510IPS
domain-name hdh.local
enable Router--RRMG
dns-guard
!
de 75.144.30.210 255.255.255.248 do IP address do segurança-nível 0
do outside
do nameif do
interface Ethernet0/0
! shutdown
do
interface Ethernet0/1
nenhum nameif
nenhuma segurança-level
nenhum
do IP address! shutdown
do
interface Ethernet0/2
nenhum nameif
nenhuma segurança-level
nenhum
do IP address!
de 170.229.11.6 255.255.240.0 do IP address do segurança-nível 100
do inside
do nameif do
interface Ethernet0/3
! segurança-nível 0
do management
do nameif do shutdown
do
interface Management0/0
nenhuma gerência-only
do
do IP address! o início de uma sessão do
banner autorizou pessoal somente!!! o início de uma sessão do
banner se você não é autorizado entrar por favor desconecta o sistema disk0 de now.
boot: anfitrião intra-interface
de 10.2.26.50 do anfitrião do rede-objeto do
de 10.10.254.10 do anfitrião do rede-objeto do
de 10.10.15.102 do anfitrião do rede-objeto do
de 10.10.10.155 do anfitrião do rede-objeto de RRMG
da rede do tcp
object-group do protocolo-objeto do udp
do protocolo-objeto de TCPUDP
do protocolo do
object-group de 12.10.132.232 do anfitrião do rede-objeto do
de 12.10.132.226 do anfitrião do rede-objeto de ARUP
da rede do
object-group do ftp do eq do tcp do serviço-objeto do
do pcanywhere-status do eq do UDP do serviço-objeto do
dos pcanywhere-dados do eq do tcp do serviço-objeto de SMARTNET
do serviço do
object-group do eq 9443 do UDP do serviço-objeto do
do eq 9443 do tcp do serviço-objeto do serviço MIRTH_LAB_HL7
da licença/>object-group do Domain Name hdh.local
same-security-traffic do
de 170.229.11.10 do nome-usuário do
de 170.229.11.2 do nome-usuário de DefaultDNS
do usuário-grupo do inside
dns da domínio-consulta do outside
dns da domínio-consulta do recurring
dns do verão PDT do timezone PST -8
clock do passive
clock da modalidade de /asa822-k8.bin
ftpo outside_access_in do
access-list de InTouch da observação do outside_access_in do
access-list de 10.51.100.0 255.255.255.0 do rede-objeto do
(robô) estendeu o UDP da licença toda a escala 9000 de 75.114.30.213 do anfitrião 9101 a licença estendida outside_access_in tcp de Exchange
access-list da observação do outside_access_in do
access-list qualquer objeto-grupo estendido outside_access_in SMARTNET da licença do
access-list dos informes médicos da observação do outside_access_in do
access-list do smtp do eq de 75.144.30.213 do anfitrião (SmartNet) toda a licença estendida outside_access_in estendida outside_access_in estendida outside_access_in estendida outside_access_in tcp do
access-list de 75.144.30.213 do anfitrião de 76.230.26.170 do anfitrião do objeto-grupo MIRTH_LAB_HL7 da licença do
access-list de 75.144.30.213 do anfitrião de 209.85.69.25 do anfitrião do objeto-grupo MIRTH_LAB_HL7 da licença do
access-list de 75.114.30.213 do anfitrião de 68.178.199.210 do anfitrião do objeto-grupo MIRTH_LAB_HL7 da licença do laboratório HL7
access-list do Mirth da observação do outside_access_in do
access-list de 75.144.30.212 do anfitrião qualquer relação fora da licença estendida outside_access_in tcp do
access-list de WWW do eq toda a relação fora dos https do eq o
access-list outside_1_cryptomap estendeu o passaporte estendido outside_4_cryptomap estendido outside_3_cryptomap estendido outside_2_cryptomap estendido inside_nat0_outbound estendido inside_nat0_outbound estendido inside_nat0_outbound estendido inside_nat0_outbound estendido inside_nat0_outbound estendido inside_nat0_outbound estendido inside_nat0_outbound estendido inside_nat0_outbound do anfitrião de 170.229.11.124 do anfitrião do IP da licença do
access-list do objeto-grupo ARUP de 170.229.11.124 do anfitrião do IP da licença do
access-list do IP 170.229.0.0 255.255.240.0 Windsor 255.255.255.0 da licença do
access-list do IP 170.229.0.0 255.255.240.0 170.22.22.0 255.255.255.0 da licença do
access-list de Healdsburg-Avenida 255.255.255.0 do IP 170.229.0.0 255.255.240.0 da licença do
access-list do objeto-grupo RRMG do IP 170.229.0.0 255.255.240.0 da licença do
access-list de PalmDrive do anfitrião do IP 170.229.0.0 255.255.240.0 da licença do
access-list do passaporte do anfitrião de 170.229.11.124 do anfitrião do IP da licença do
access-list do objeto-grupo ARUP de 170.229.11.124 do anfitrião do IP da licença do
access-list do IP 170.229.0.0 255.255.240.0 Windsor 255.255.255.0 da licença do
access-list do IP 170.229.0.0 255.255.240.0 Cloverdale 255.255.255.0 da licença do
access-list do IP 170.229.0.0 255.255.240.0 Cloverdale 255.255.255.0 da licença o IP estendido inside_access_in estendido outside_5_cryptomap da licença do
access-list de PalmDrive do anfitrião do IP 170.229.0.0 255.255.240.0 da licença do
access-list todo o qualquer IP estendido inside_access_in 170.22.22.0 255.255.255.0 da licença do
access-list todo o IP estendido IPS da licença do
access-list qualquer todo o
pager de 170.22.22.0 255.255.255.0 da licença do
access-list IT_splitTunnelAcl alinha a facilidade 17
mtu do informational
logging do asdm do enable
logging de 24
logging fora de 1500
mtu dentro da -Associação 172.22.22.1 da associação local da gerência 1500
ip de 1500
mtu - o
ip de 255.255.255.255 da máscara de 172.22.22.10 verific a imagem unreachable disk0 do estourar-tamanho 1
asdm do taxa-limite 1 do management
icmp da monitor-relação do failover
no do inside
no da relação do reverso-trajeto: intervalo de parada 14400
global do enable
arp da história do asdm de /asdm-631.bin
no (fora) 1 interface
nat (para dentro) 0 acesso-lista inside_nat0_outbound
nat (para dentro) 1 outside_access_in do
access-group de 255.255.255.255 do netmask do
static de 255.255.255.255 do netmask do
static de 0.0.0.0 0.0.0.0 (para dentro, fora) 75.144.30.212 170.229.11.200 (para dentro, fora) 75.144.30.211 170.229.11.26 no inside_access_in do outside
access-group da relação no inside
route da relação fora de 0.0.0.0 0.0.0.0 75.144.30.214 1
route dentro de 10.2.26.50 255.255.255.255 Router--RRMG a 1
route dentro de 10.10.10.155 255.255.255.255 Router--RRMG a 1
route dentro de 10.10.15.102 255.255.255.255 Router--RRMG a 1
route dentro de 10.10.254.10 255.255.255.255 Router--RRMG a 1
route dentro de 10.51.1.0 255.255.255.0 Router--RRMG a 1
route dentro de Healdsburg-Avenida 255.255.255.0 170.229.11.60 1
route dentro de 192.168.3.226 255.255.255.255 Router--RRMG ao 3:00 do xlate de 1
timeout: 1:00 da conexão de 00
timeout: 00 0:10 entreabertos: 00 0:02 do UDP: 00 0:00 do ICMP: 0:10 do sunrpc de 02
timeout: 00 0:05 h323: 00 1:00 h225: 00 0:05 do mgcp: 00 mgcp-pat o 0:05: 0:30 do sorvo de 00
timeout: 00 0:02 do sip_media: 00 sorver-convidam o 0:03: 00 sorver-desconectam o 0:02: 0:02 dos sorver-provisional-meios de 00
timeout: 00 0:05 do uauth: 00 0:01 da tcp-proxy-remontagem do absolute
timeout: o contact
snmp-server do SNMP-usuário do location
no do SNMP-usuário do inside
no do enable
http 170.229.0.0 255.255.240.0 do usuário de 00
dynamic-access-policy-record DfltAccessPolicy
http permite armadilhas o ipsec do coldstart
crypto que do linkdown da associação da autenticação do SNMP transformar-ajustou o ipsec do
crypto de ESP-3DES-MD5 esp-3des esp-md5-hmac transformar-ajustou o ipsec do
crypto de ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac transformar-ajustou o ipsec do
crypto do esp-sha-hmac de esp-DES de ESP-DES-SHA transformar-ajustou ESP-DES-MD5 o ipsec do
crypto de esp-DES esp-md5-hmac transformar-ajustou o ipsec do
crypto de ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac transformar-ajustou o ipsec do
crypto do esp-sha-hmac de ESP-AES-256-SHA esp-aes-256 transformar-ajustou esp-aes de ESP-AES-128-SHA o ipsec do
crypto do esp-sha-hmac transformar-ajustou o ipsec do
crypto do esp-sha-hmac de ESP-AES-192-SHA esp-aes-192 transformar-ajustou os esp-aes ESP-AES-128-MD5 o ipsec do
crypto de esp-md5-hmac transformar-ajustou pfs ajustados do dinâmico-mapa SYSTEM_DEFAULT_CRYPTO_MAP 65535 dos quilobytes 4608000
crypto da vida da segurança-associação do ipsec dos segundos 28800
crypto da vida da segurança-associação do ipsec do
crypto do esp-sha-hmac de ESP-3DES-SHA esp-3des o jogo do dinâmico-mapa SYSTEM_DEFAULT_CRYPTO_MAP 65535 de group1
crypto transformar-se ajustou O jogo ajustado do outside_map 1 do mapa do
crypto de 70.89.157.158 do par do outside_map 1 ajustado do mapa dos pfs group1
crypto do outside_map 1 do mapa do endereço outside_1_cryptomap
crypto do fósforo do outside_map 1 do mapa de ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto transformar-ajustou par ajustado do outside_map 2 ajustados do mapa dos pfs group1
crypto do outside_map 2 do mapa do endereço outside_2_cryptomap
crypto do fósforo do outside_map 2 do mapa de ESP-3DES-SHA
crypto o jogo do outside_map 2 que do mapa do
crypto de 173.164.155.242 transformar-ajustou par ajustado do outside_map 3 ajustados do mapa dos pfs group1
crypto do outside_map 3 do mapa do endereço outside_3_cryptomap
crypto do fósforo do outside_map 3 do mapa de ESP-3DES-MD5
crypto o jogo do outside_map 3 do mapa do
crypto de 12.10.132.31 transformar-ajustou o
crypto de 207.65.77.135 do par do outside_map 4 ajustados do mapa dos pfs group1
crypto do outside_map 4 do mapa do endereço outside_4_cryptomap
crypto do fósforo do outside_map 4 do mapa de ESP-3DES-SHA
crypto o jogo do outside_map 4 do mapa transformar-ajustou par ajustado o jogo do outside_map 5 que do mapa do
crypto de 63.193.20.139 transformar-ajustou o assunto-nome dinâmico CN= 75.144.30.213 do terminal
do registro do trustpoint ASDM_TrustPoint0
do outside
crypto Ca da relação do outside_map do mapa de SYSTEM_DEFAULT_CRYPTO_MAP
crypto do ipsec-isakmp do outside_map 65535 do mapa de ESP-3DES-SHA
crypto, distrito do outside_map 5 ajustados do mapa dos pfs group1
crypto do outside_map 5 do mapa do endereço outside_5_cryptomap
crypto do fósforo do outside_map 5 do mapa de ESP-3DES-MD5
crypto do hospital do condado de O=North Sonoma, isakmp do configure
crypto do crl de VPN
do keypair de C=US
permite a autenticação da política 30
do isakmp da vida 86400
crypto do grupo 2
do sha
da mistura do des
da cifragem do pre-share
da autenticação da política 10
do isakmp da vida 86400
crypto do grupo 2
do sha
da mistura da cifragem 3des
do pre-share
da autenticação da política 5
do isakmp do outside
crypto a vida 86400
no do grupo 2
da mistura md5
da cifragem 3des
do pre-share
vpn-addr-atribui o aaa
no vpn-addr-atribui ao intervalo de parada 0
threat-detection do intervalo de parada 5
console do intervalo de parada 5
ssh do inside
telnet do dhcp
telnet 170.229.0.0 255.255.240.0 estatísticas básicas-threat
threat-detection das estatísticas de/>threat-detection as estatísticas do acesso-list
threat-detection que tcp-interceptam o anyconnect-essentials
group-policy da médio-taxa 200
webvpn
da estourar-taxa 400 do taxa-intervalo 30 ELE o internal
group-policy ELE o privilégio cifrado Gbr1LgkU8cAKX5Pp 15
username da senha do mmcjilton do valor hdh.local
username do optar-domínio de IT_splitTunnelAcl
do valor da rachar-túnel-rede-lista do tunnelspecified
da rachar-túnel-política do
de IPSec do vpn-túnel-protocolo do
de 170.229.11.2 170.229.11.10 do valor do dns-usuário do attributes
o privilégio cifrado MgXqpsHooqyWk.LK gcrossan 0
username da senha tipo cifrado bLTxyxQHPMK2XH77 gcrossan ipsec-attributes
de IT
tunnel-group 70.89.157.158 da vpn-grupo-política do attributes
do clindell do privilégio 0
username da senha do clindell de IT
username da vpn-grupo-política do attributes
de ipsec-l2l
tunnel-group 70.89.157.158 tipo tipo tipo tipo
tunnel-group do
tunnel-group 173.164.155.242 do ***** da pre-compartilhar-chave do
tunnel-group 12.10.132.31 do ***** da pre-compartilhar-chave do ipsec-attributes
de ipsec-l2l
tunnel-group 173.164.155.242 do
tunnel-group 207.65.77.135 do ***** da pre-compartilhar-chave do ipsec-attributes
de ipsec-l2l
tunnel-group 12.10.132.31 do
tunnel-group 63.193.20.139 do ***** da pre-compartilhar-chave do ipsec-attributes
de ipsec-l2l
tunnel-group 207.65.77.135 do ***** da pre-compartilhar-chave do ipsec-attributes
de ipsec-l2l
tunnel-group 63.193.20.139 ELE tipo/>tunnel-group remoto-access
ele-Pool
tunnel-group de/> ELE
do ***** da pre-compartilhar-chave do ipsec-attributes
! any
do fósforo do
class-map/>!
! o
policy-map que a classe global-policy
global-class
inline falhar-abre o tipo do sensor vs0
policy-map inspeciona o máximo máximo 512
do mensagem-comprimento do auto
do cliente do mensagem-comprimento do parameters
do dns migrated_dns_map_1
! perfil CiscoTAC-1
do
call-home
do contexto do hostname do global
prompt da global-política do
service-policy nenhum rel= " nofollow " do " _blank " " do target= de " https://tools.cisco.com/its/service/oddce/services/DDCEService do href= do > da telemetria periódica periódica do subscrever-à-alerta-grupo do monthly
da configuração do subscrever-à-alerta-grupo do monthly
do inventário do subscrever-à-alerta-grupo do environment
do subscrever-à-alerta-grupo do diagnostic
do subscrever-à-alerta-grupo do http
do transportar-método do destino do email [email protected]
do endereço de destino do s/service/oddce/services/DDCEService
de https://tools.cisco.com/it daily
Cryptochecksum: 64648ac01f251dd2b3d5650664dac2a0
: imagem disk0 do end
asdm: posição do inside
asdm de Healdsburg-Avenida 255.255.255.0 da posição do inside
asdm de PalmDrive 255.255.255.255 da posição do inside
asdm de 255.255.255.255 do passaporte da posição do inside
asdm de 12.10.132.232 255.255.255.255 da posição do inside
asdm de 12.10.132.226 255.255.255.255 da posição do inside
asdm de Windsor 255.255.255.0 da posição do inside
asdm de Cloverdale 255.255.255.0 da posição de /asdm-631.bin
asdm Router--RRMG ao enable

da história do asdm do inside
no de 170.22.22.0 255.255.255.0 da posição do inside
asdm de 255.255.255.255 class= do

Resposta : Separação de VPN que escava um túnel o trabalho em ASA5510

aprovação se aquele é o caso
seu túnel da separação tem que ser como este

nenhuma licença padrão 170.229.0.0 255.255.240.0 de IT_splitTunnelAcl da acesso-lista
anfitrião padrão 0.0.0.0 da licença de IT_splitTunnelAcl da acesso-lista
grupo-política que atribui
 nenhuma rachar-túnel-política tunnelspecified
 nenhum valor IT_splitTunnelAcl da rachar-túnel-rede-lista
rachar-túnel-política excludespecified
valor IT_splitTunnelAcl da rachar-túnel-rede-lista

+ você tem que selecionar o acesso local do lan no cliente vê o imange

deixar-me saber o status