Ciao a tutti. Vi chiedo una cosa che sicuramente per i guru del forum sarà semplice semplice.
Ho un cliente a cui avevo suggerito di prendere una adsl con 8 ip pubblici, per avere la possibilità di attivare qualche servizio.
Ovviamente quando l'ho raggiunto per configurare l'asa5505 mi sono accorto che è una adsl con 1 solo IP.
Ora....sono riuscito a farlo navigare e tutto, (ssh da remoto, ecc). Il cliente vorrebbe usare il client vpn da casa per collegarsi all'ufficio. Qualcuno mi può aiutare? (un pezzetto di conf, o qualcosa del genere?).
Il ho messo tra asa e router una classe privata. Nell'inside dell'asa altra classe privata. Ho impostato sul router telecom(una ciofeca) il fatto che mi faccia passare l'ipsec verso l'ip outside dell'asa. Ora vorrei essere sicuro che l'asa sia configurato correttamente prima di dare la colpa al router telecom.
Grazie.
VPN con 1 solo IP pubblico
Moderatore: Federico.Lagni
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Beh per dire che la configurazione è corretta bisognerebbe vederla 
.
Hai provato a vedere http://www.ciscoforums.it/viewtopic.php?t=9983?
Comunque con il router Telecom passa la VPN.
Ciao
.Hai provato a vedere http://www.ciscoforums.it/viewtopic.php?t=9983?
Comunque con il router Telecom passa la VPN.
Ciao
Ultima modifica di paolomat75 il mar 13 set , 2011 10:25 am, modificato 1 volta in totale.
Non cade foglia che l'inconscio non voglia (S.B.)
-
Mucusumiliano
- n00b
- Messaggi: 15
- Iscritto il: mer 10 nov , 2010 3:53 pm
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.2 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 172.16.0.2 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.1.5
domain-name xxxxxxx.local
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list vpn_access_in extended permit ip any 192.168.99.0 255.255.255.0
access-list outside_access_in extended permit tcp host X.X.X.X host 172.16.0.5 eq 3389
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.99.1-192.168.99.100 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list vpn_access_in
nat (inside) 1 192.168.1.0 255.255.255.0
nat (outside) 1 192.168.99.0 255.255.255.0
static (inside,outside) 172.16.0.5 192.168.1.5 netmask 255.255.255.255 dns
route outside 0.0.0.0 0.0.0.0 172.16.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
ldap attribute-map ad-cisco-map
map-name msNPAllowDialin IETF-Radius-Class
map-value msNPAllowDialin FALSE NOACCESS
map-value msNPAllowDialin TRUE xxxxxxx.local
dynamic-access-policy-record DfltAccessPolicy
aaa-server Users protocol ldap
aaa-server Users (inside) host 192.168.1.5
ldap-base-dn DC=xxxxxxx,DC=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *
ldap-login-dn CN=Administrator,CN=Users,DC=xxxxxxx,DC=local
server-type microsoft
ldap-attribute-map ad-cisco-map
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set mvpntransformset esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map mvpndynamicmap 20 set transform-set mvpntransformset
crypto map mvpnmap 65535 ipsec-isakmp dynamic mvpndynamicmap
crypto map mvpnmap interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 3600
crypto isakmp ipsec-over-tcp port 10000
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh A.A.A.A 255.255.255.255 outside
ssh 172.16.0.0 255.255.255.0 outside
ssh timeout 30
ssh version 2
console timeout 0
dhcpd dns 85.37.17.13 85.38.28.81
dhcpd domain xxxxxxxx.local
!
dhcpd address 192.168.1.50-192.168.1.200 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
group-policy NOACCESS internal
group-policy NOACCESS attributes
vpn-simultaneous-logins 0
group-policy xxxxx.local internal
group-policy xxxxx.local attributes
wins-server value 192.168.1.5
dns-server value 192.168.1.5
vpn-simultaneous-logins 20
vpn-tunnel-protocol IPSec svc
split-tunnel-policy tunnelall
default-domain value xxxxxxxxx.local
address-pools value vpnpool
username pippo password /BfjuVBVv8adXQEv encrypted
username pippo attributes
service-type remote-access
tunnel-group xxxxxxx type remote-access
tunnel-group xxxxxxx general-attributes
authentication-server-group Users LOCAL
default-group-policy NOACCESS
tunnel-group xxxxxxxx webvpn-attributes
group-alias SSLVPNClient enable
tunnel-group xxxxxxxx ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect dns
inspect icmp
inspect ipsec-pass-thru
!
prompt hostname context
Cryptochecksum:af0e4df146ff74ee2eaa14686680faa1
: end
Ho usato l'autenticazione ldap su active d., e funziona.
Secondo me il problema può essere che devo aprire un pò di porte sul router verso l'outside dell'asa, o anche il doppio nat che rompe le scatole.
Infatti per raggiungere l'interfaccia web del router, visto che non ha la possibilità di impostare l'accesso remoto (o almeno io nn l'ho trovata), ho cercato di accedere al server in remote desktop, per poi saltare sul router, nn funziona; le righe sono:
access-list outside_access_in extended permit tcp host X.X.X.X host 172.16.0.5 eq 3389
static (inside,outside) 172.16.0.5 192.168.1.5 netmask 255.255.255.255 dns
X.X.X.X è il pubblico da cui esco io.
192.168.1.5 è l'inside del server. la natto su 172.16.0.5, ma nn ci arrivo.
Ovviamente sul router ho impostato l'accesso remoto verso 172.16.0.5
Grazie.
nameif inside
security-level 100
ip address 192.168.1.2 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 172.16.0.2 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.1.5
domain-name xxxxxxx.local
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list vpn_access_in extended permit ip any 192.168.99.0 255.255.255.0
access-list outside_access_in extended permit tcp host X.X.X.X host 172.16.0.5 eq 3389
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.99.1-192.168.99.100 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list vpn_access_in
nat (inside) 1 192.168.1.0 255.255.255.0
nat (outside) 1 192.168.99.0 255.255.255.0
static (inside,outside) 172.16.0.5 192.168.1.5 netmask 255.255.255.255 dns
route outside 0.0.0.0 0.0.0.0 172.16.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
ldap attribute-map ad-cisco-map
map-name msNPAllowDialin IETF-Radius-Class
map-value msNPAllowDialin FALSE NOACCESS
map-value msNPAllowDialin TRUE xxxxxxx.local
dynamic-access-policy-record DfltAccessPolicy
aaa-server Users protocol ldap
aaa-server Users (inside) host 192.168.1.5
ldap-base-dn DC=xxxxxxx,DC=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *
ldap-login-dn CN=Administrator,CN=Users,DC=xxxxxxx,DC=local
server-type microsoft
ldap-attribute-map ad-cisco-map
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set mvpntransformset esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map mvpndynamicmap 20 set transform-set mvpntransformset
crypto map mvpnmap 65535 ipsec-isakmp dynamic mvpndynamicmap
crypto map mvpnmap interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 3600
crypto isakmp ipsec-over-tcp port 10000
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh A.A.A.A 255.255.255.255 outside
ssh 172.16.0.0 255.255.255.0 outside
ssh timeout 30
ssh version 2
console timeout 0
dhcpd dns 85.37.17.13 85.38.28.81
dhcpd domain xxxxxxxx.local
!
dhcpd address 192.168.1.50-192.168.1.200 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
group-policy NOACCESS internal
group-policy NOACCESS attributes
vpn-simultaneous-logins 0
group-policy xxxxx.local internal
group-policy xxxxx.local attributes
wins-server value 192.168.1.5
dns-server value 192.168.1.5
vpn-simultaneous-logins 20
vpn-tunnel-protocol IPSec svc
split-tunnel-policy tunnelall
default-domain value xxxxxxxxx.local
address-pools value vpnpool
username pippo password /BfjuVBVv8adXQEv encrypted
username pippo attributes
service-type remote-access
tunnel-group xxxxxxx type remote-access
tunnel-group xxxxxxx general-attributes
authentication-server-group Users LOCAL
default-group-policy NOACCESS
tunnel-group xxxxxxxx webvpn-attributes
group-alias SSLVPNClient enable
tunnel-group xxxxxxxx ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect dns
inspect icmp
inspect ipsec-pass-thru
!
prompt hostname context
Cryptochecksum:af0e4df146ff74ee2eaa14686680faa1
: end
Ho usato l'autenticazione ldap su active d., e funziona.
Secondo me il problema può essere che devo aprire un pò di porte sul router verso l'outside dell'asa, o anche il doppio nat che rompe le scatole.
Infatti per raggiungere l'interfaccia web del router, visto che non ha la possibilità di impostare l'accesso remoto (o almeno io nn l'ho trovata), ho cercato di accedere al server in remote desktop, per poi saltare sul router, nn funziona; le righe sono:
access-list outside_access_in extended permit tcp host X.X.X.X host 172.16.0.5 eq 3389
static (inside,outside) 172.16.0.5 192.168.1.5 netmask 255.255.255.255 dns
X.X.X.X è il pubblico da cui esco io.
192.168.1.5 è l'inside del server. la natto su 172.16.0.5, ma nn ci arrivo.
Ovviamente sul router ho impostato l'accesso remoto verso 172.16.0.5
Grazie.
-
Mucusumiliano
- n00b
- Messaggi: 15
- Iscritto il: mer 10 nov , 2010 3:53 pm
vorrei anche chiedere come posso raggiungere in rdp il server interno, prima di arrivare ad attivare la vpn mi sarebbe utile:
-A.A.A.A-|Router|-172.16.0.1-------172.16.0.2-|asa|-192.168.1.2-------- | server:192.168.1.5|
Io ho messo:
access-list outside_access_in extended permit tcp host 172.16.0.5 host 192.168.1.5 eq 3389
static (inside,outside) 172.16.0.5 192.168.1.5 netmask 255.255.255.255 dns
access-group outside_access_in in interface outside
Sul router devo aprire la porta 3389 da A.A.A.A verso il 172.16.0.5, giusto?
-A.A.A.A-|Router|-172.16.0.1-------172.16.0.2-|asa|-192.168.1.2-------- | server:192.168.1.5|
Io ho messo:
access-list outside_access_in extended permit tcp host 172.16.0.5 host 192.168.1.5 eq 3389
static (inside,outside) 172.16.0.5 192.168.1.5 netmask 255.255.255.255 dns
access-group outside_access_in in interface outside
Sul router devo aprire la porta 3389 da A.A.A.A verso il 172.16.0.5, giusto?
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Non capisco cosa vuoi dire con "prima di arrivare ad attivare la vpn" ma tralasciando questo, nel codice che hai allegato, secondo me devi anche mappare staticamente la 3389 come hai fatto con la porta dns. L'acl da sola non basta.Mucusumiliano ha scritto:vorrei anche chiedere come posso raggiungere in rdp il server interno, prima di arrivare ad attivare la vpn mi sarebbe utile:
-A.A.A.A-|Router|-172.16.0.1-------172.16.0.2-|asa|-192.168.1.2-------- | server:192.168.1.5|
Io ho messo:
access-list outside_access_in extended permit tcp host 172.16.0.5 host 192.168.1.5 eq 3389
static (inside,outside) 172.16.0.5 192.168.1.5 netmask 255.255.255.255 dns
access-group outside_access_in in interface outside
Sul router devo aprire la porta 3389 da A.A.A.A verso il 172.16.0.5, giusto?
Rizio
Si vis pacem para bellum
-
Mucusumiliano
- n00b
- Messaggi: 15
- Iscritto il: mer 10 nov , 2010 3:53 pm
intendevo dire che il problema vpn lo affronto dopo.
arrivare in rdp sul server da remoto mi permette di saltare poi in http sul router e fare le prove di apertura porte anche da li.
cmq ho corretto come suggerito ma nulla:
static (inside,outside) 172.16.0.5 192.168.1.5 netmask 255.255.255.255 tcp 3389 0
Io vado in rdp su A.A.A.A (pubblico) ma nn mi gira sul server. A questo punto secondo voi posso escludere l'asa e cercare sul router?
Grazie
arrivare in rdp sul server da remoto mi permette di saltare poi in http sul router e fare le prove di apertura porte anche da li.
cmq ho corretto come suggerito ma nulla:
static (inside,outside) 172.16.0.5 192.168.1.5 netmask 255.255.255.255 tcp 3389 0
Io vado in rdp su A.A.A.A (pubblico) ma nn mi gira sul server. A questo punto secondo voi posso escludere l'asa e cercare sul router?
Grazie
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Questa è corretta e ti dovrebbe permettere (salvo motivi particolari che non vedo) dalla rete 172.16.0.0 di accedere via rdp alla macchina 192.168.1.5, prova da quella rete intanto.Mucusumiliano ha scritto:cmq ho corretto come suggerito ma nulla:
static (inside,outside) 172.16.0.5 192.168.1.5 netmask 255.255.255.255 tcp 3389 0
Per questo devi fare il nat sul router A.A.A.A che dall'ip pubblico te lo gira verso l'ip interno (nattato a sua volta dall'ASA). Non sò se ci sono dei problemi per il doppio nat ma non direi.Mucusumiliano ha scritto:Io vado in rdp su A.A.A.A (pubblico) ma nn mi gira sul server. A questo punto secondo voi posso escludere l'asa e cercare sul router?
Rizio
Si vis pacem para bellum
-
blublublu
- Cisco power user
- Messaggi: 82
- Iscritto il: mer 11 mag , 2011 6:14 pm
in questa situazione dovresti far funzionare il router Telecom come un bridge e avere l'IP pubblico assegnato all'ASA, ma non so se è possibile.
Altrimenti per collegarti da internet verso l'interno devi configurare dei PAT statici sul router Telecom. Sull'ASA ti serve a poco fare NAT a meno che non sia possibile configurare una route statica sul router Telecom verso l'inside dell'ASA. Per l'accesso remoto eviterei IPSec e andrei su modalità basate su SSL
Altrimenti per collegarti da internet verso l'interno devi configurare dei PAT statici sul router Telecom. Sull'ASA ti serve a poco fare NAT a meno che non sia possibile configurare una route statica sul router Telecom verso l'inside dell'ASA. Per l'accesso remoto eviterei IPSec e andrei su modalità basate su SSL
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Perchè dici così? Per la problematica di configurazione del router di frontiera o per un discorso di sicurezza proprio?blublublu ha scritto:Per l'accesso remoto eviterei IPSec e andrei su modalità basate su SSL
Rizio
Si vis pacem para bellum
-
blublublu
- Cisco power user
- Messaggi: 82
- Iscritto il: mer 11 mag , 2011 6:14 pm
beh, ormai è questa la modalità di accesso remoto, è difficile che da qualche parte tu possa trovare bloccata la TCP/443 e non hai i problemi di NAT di ESP. In questo caso l'ESP non si potrebbe usare e non so se sia possibile qualche accrocchio con NAT-T.Rizio ha scritto:Perchè dici così? Per la problematica di configurazione del router di frontiera o per un discorso di sicurezza proprio?blublublu ha scritto:Per l'accesso remoto eviterei IPSec e andrei su modalità basate su SSL
Rizio
-
Mucusumiliano
- n00b
- Messaggi: 15
- Iscritto il: mer 10 nov , 2010 3:53 pm
Ciao a tutti,
volevo aggiornare e forse chiudere il topic. Sono andato in remoto sul router.
Ho aperto le porte come da suggerimento di paolomat75, nel link che mi ha girato.
Ho aperto i prot verso l'outside dell'asa, e la vpn sale col vpn client di cisco.
Arrivo anche in rdp sul server che mi interessava, quindi arrivo nella rete inside.
Grazie a tutti per i suggerimenti.
volevo aggiornare e forse chiudere il topic. Sono andato in remoto sul router.
Ho aperto le porte come da suggerimento di paolomat75, nel link che mi ha girato.
Ho aperto i prot verso l'outside dell'asa, e la vpn sale col vpn client di cisco.
Arrivo anche in rdp sul server che mi interessava, quindi arrivo nella rete inside.
Grazie a tutti per i suggerimenti.
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ottimo!
Ciao
Paolo
Ciao
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
