Вопрос : Клиент vpn Cisco 5505 соединяется, только никакой доступ.

5505 работ отлично как маршрутизатор интернета from inside. Побежал чудодей VPN. Теперь я могу соединиться using VPN-клиент cisco. Я использую вариант 4.7. Проблемой будет я не может ping что-нибыдь на внутренности. Судимая внутренняя поверхность стыка на маршрутизаторе, и другие машины на внутреннем lan. Config как ниже, внешний IP замаскированный как *.*.*. '. Пожалуйста help.


: Saved
: вариант 7.2
ASA (4)
! encrypted
names
encrypted
passwd 2KFQneNIdI.2KYOU пароля e6IG26r0yJuKiPvk ciscoasa
domain-name default.domain.invalid
enable
hostname!
192.168.1.1 255.255.255.0 адреса ip обеспеченност-уровня 100
inside
nameif
interface Vlan1
!
адреса *.*.*.* 255.255.255.248 ip обеспеченност-уровня 0
outside
nameif
interface Vlan2
!
interface Vlan3
отсутствие переднего обеспеченност-уровня 50
dmz
nameif поверхности стыка Vlan1
отсутствие address
ip! доступ vlan 2
switchport
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!ip разрешения разрешения intra-interface
access-list domain-name default.domain.invalid
same-security-traffic DefaultDNS
сервер-группы passive
dns режима
ftp удлиненный inside_nat0_outbound любой ip разрешения
access-list ip 192.168.115.0 255.255.255.0 192.168.1.48 255.255.255.240 разрешения
access-list 192.168.1.48 255.255.255.240 удлиненный inside_nat0_outbound удлиненный inside_nat0_outbound любое
pager 192.168.5.48 255.255.255.240 выравнивает informational
mtu asdm 24
logging внутри 1500
mtu вне tietopool 192.168.5.50 местного бассеина dmz 1500
ip 1500
mtu - изображения disk0 разрывать-размера 1
asdm тариф-предела 1
icmp 255.255.255.0 маски 192.168.5.60 unreachable: перерыв 14400
global enable
arp истории asdm /asdm-524.bin
no (снаружи) 1 interface
nat (внутрь) 0 доступ-списков inside_nat0_outbound
nat (внутрь) 1
route 0.0.0.0 0.0.0.0 внутри 192.168.115.0 255.255.255.0 192.168.1.2 1
route вне 0.0.0.0 0.0.0.0 *.*.*.* 1
!
router rip
!3:00 xlate
timeout: 1:00 conn 00
timeout: 00 half-closed 0:10: 00 0:02 udp: 00 0:00 icmp: 0:10 sunrpc 02
timeout: 00 0:05 h323: 00 1:00 h225: 00 0:05 mgcp: 00 mgcp-pat 0:05: 0:30 глоточка 00
timeout: 00 0:02 sip_media: 00 sip-приглашают 0:03: 00 sip-отключают 0:02: 0:02 sip-временный-средств 00
timeout: 00 0:05 uauth: 00 contact
snmp-server snmp-сервера location
no snmp-сервера inside
no inside
http 192.168.1.0 255.255.255.0 enable
http 192.168.115.0 255.255.255.0 сервера absolute
http включает ловушки ipsec coldstart
crypto, котор linkdown соединения удостоверения подлинности snmp преобразовывать-установило pfs outside_dyn_map 20 динамическ-карты
crypto esp-sha-hmac ESP-3DES-SHA esp-3des установленные комплект outside_dyn_map 20 динамическ-карты group1
crypto преобразовывать-установил pfs outside_dyn_map 40 динамическ-карты ESP-3DES-SHA
crypto установленные комплект outside_dyn_map 40 динамическ-карты group1
crypto преобразовывать-установил pfs outside_dyn_map 60 динамическ-карты ESP-3DES-SHA
crypto установленные комплект outside_dyn_map 60 динамическ-карты group1
crypto преобразовывать-установил pfs outside_dyn_map 80 динамическ-карты ESP-3DES-SHA
crypto установленные комплект outside_dyn_map 80 динамическ-карты group1
crypto преобразовывать-установил pfs outside_dyn_map 100 динамическ-карты ESP-3DES-SHA
crypto установленные комплект outside_dyn_map 100 динамическ-карты group1
crypto преобразовывать-установил pfs outside_dyn_map 120 динамическ-карты ESP-3DES-SHA
crypto установленные комплект outside_dyn_map 120 динамическ-карты group1
crypto преобразовывать-установил карту ESP-3DES-SHA
crypto isakmp outside
crypto поверхности стыка outside_map карты outside_dyn_map
crypto ipsec-isakmp outside_map 65535 динамическое включает outside
auto_config перерыва 0
dhcpd перерыва 5
console перерыва 5
ssh nat-traversal 30
telnet isakmp продолжительности жизни 86400
crypto группы 2
sha
хэша шифрования 3des
crack
удостоверения подлинности политики 30
isakmp продолжительности жизни 86400
crypto группы 2
sha
хэша шифрования 3des
pre-share
удостоверения подлинности политики 10
isakmp outside
crypto! адрес 192.168.1.20
dhcpd - inside
dhcpd поверхности стыка аренды 86400 inside
dhcpd поверхности стыка inside
dhcpd dns 195.159.0.100 195.159.0.200 192.168.1.50 включает inside
! пароль LPk9P32ZCXmyVNxz tieto
username IPSec vpn-тоннел-протокола
192.168.115.40 значения dns-сервера attributes
tietogroup internal
group-policy tietogroup

group-policy шифровал тип *
tietogroup tietogroup
tunnel-group vpn-групп-политики attributes
tieto привилегированности 0
username pre-делить-ключа ipsec-attributes
tietogroup tietogroup
tunnel-group не выполнять обязательство-групп-политики tietopool
адресовать-бассеина tietogroup вообще-attributes
ipsec-ra
tunnel-group! не выполнять обязательство-осмотр-traffic
спички inspection_default

class-map!
! тип
policy-map проверяет тип global_policy
максимума 512
policy-map сообщени-длины parameters
preset_dns_map
dns, котор inspection_default
проверяет
preset_dns_map dns проверяет
ftp проверяет
h323 h225 проверяет ras h323
проверяет
rsh проверяет
rtsp проверяет
esmtp проверяет
sqlnet проверяет тощее
проверяет
sunrpc проверяет
xdmcp проверяет
глоточка проверяет
netbios проверяет
tftp!
Cryptochecksum смысла именени ведущего global
prompt global_policy
service-policy: 0eeccd37b0216e3f5498a978a912eb22
: изображение disk0 end
asdm: enable

истории asdm /asdm-524.bin
no class=

Ответ : Клиент vpn Cisco 5505 соединяется, только никакой доступ.

отсутствие потребности включить СУЛОЙ для трассы
статическая трасса достаточно

от ipsec sa выставки crypto я могу увидеть что пакеты приходят от клиента и наш ASA decapsulating оно, но не будет ответа.

выведите любой брандмауэр из строя iего n 192.168.1.20 и попытайтесь Пинг.

сделал u приложите внизу configs в asa (как раз для моего знания)

ip 192.168.1.0 255.255.255.0 разрешения доступ-списка Split выдвинутый нисколько
ip 192.168.115.0 255.255.255.0 разрешения доступ-списка Split выдвинутый нисколько
атрибуты групп-политики tietogroup_1
tunnelspecified разделять-тоннел-политика
разделение значения разделять-тоннел-сет-списка