CiscoForums.it

Ciao a tutti,

Ho creato una VPN ipsec 3des sha (remote to site) su ASA 5505 con lo wizard da pannello di management web

ho 2 problemi che non riesco a risolvere :

premetto che dalla sede remota mi connetto tramite Cisco-vpnclient 5.0.02.0090-k9.exe


1° Problema :
quando la vpn si stabilisce se vado a fare ipconfig l'asa assegna alla mia scheda di rete

Indirizzo IP. . . . . . . . . . . . . : 5.115.62.206
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 5.115.62.201 <<<<-------- ????

il problema principale è che mi assegna anche il gateway e questo non mi permette più di poter navigare con la mia adsl (come si fa a far in modo che l'ASA assegni all'interfaccia ethernet solamente ip e subnet ??? e non mi dia il secondo gateway ???)


2°Problema:

Se mi collego attraverso reti adsl che hanno il doppio nat per portare gli ip pubblici statici (tipo fastweb) praticamente l'autenticazione VPN si stabilisce ma poi non passa alcun pacchetto , nemmeno si riescono a pingare gli indirizzi della rete interna ,(questo è una limitazione di ipsec da quello che ho capito) con lo wizard non da possibilità di poter risolvere questo problema , leggendo su google ho capito che potrebbe essere un problema di nat-transversal e di Reverse route injection (RRI) ma non riesco a capire dal pannello web di management dell'asa dove e come posso configurare questi parametri .

Grazie per un tempestivo aiuto !!!!

1) Split tunnel
2) NAT-Traversal

ok ma come si deve configurare ??? datemi una mano

Riesci ad accedere in telnet \ ssh al firewall?

ciao , visto che nessuno mi rispondeva ho letto un caso simile su questo forum in un'altro post ed ho trovato la seguente linea di comando " crypto isakmp nat-traversal 21 "da inserire per risolvere il problema del nat traversal e sembra che ora della rete interna qualcosina pingo anche se non proprio tutto tutto ma comunque già un passo avanti quindi ora mi rimarrebbe il problema dello split tunnel e cioè far in modo che la vpn non mi assegni il gateway alla mia interfaccia di rete e mi permetta di navigare su internet mentre la vpn è attiva . . . .il telnet ssh come si abilita ??? ora non mi va nemmeno il telnet normale

Grazie per l'aiuto !!!!

Facci vedere la config

ok sono riuscito a capire che la vpn ipsec non riesce a funzionare perchè il provider fa delle cose strane e blocchi vari per cui non c'e' modo tramite ipsec . . .a questo punto vorrei fare una semplice VPN PPTP non protetta (il provider dice che così funziona) ma non ho idea di come configurarla su ASA 5505 . . .da ASDM non c'e' l'opzione per poterla creare . . .come posso fare per crearla da CLI ????

Grazie 1000

Sei fregato!
ASA e PIX dalla ios 7 in poi non supportano + le vpn pptp poichè insicure!
Puoi configurare (c'è il wizard su asdm) una vpn ssl

Cavolo non lo sapevo . . . però cercando su internet sembra che si possa fare . . . ho trovato anche questo post :

http://www.experts-exchange.com/Securit ... 43394.html

anche se non ci ho capito molto , comunque per creare una vpn SSL c'e' bisogno di un server ? ciè devo istallare qualcosa sul server oppure fa tutto l'asa ? e poi come programma client cosa devo usare ???

avete qualche guida in merito ?

grazie

AlexRossi ha scritto:Cavolo non lo sapevo . . . però cercando su internet sembra che si possa fare . . . ho trovato anche questo post :

http://www.experts-exchange.com/Securit ... 43394.html

anche se non ci ho capito molto , comunque per creare una vpn SSL c'e' bisogno di un server ? ciè devo istallare qualcosa sul server oppure fa tutto l'asa ? e poi come programma client cosa devo usare ???

avete qualche guida in merito ?

grazie

Ciao,

mi sa che quel post si riferisce a come far passare il traffico pptp affinchè un server interno possa autenticarlo...

Per la VPN ssl non serve niente, come dice Wizard segui... il wizard è abbastabza semplice, fa tutto l'Asa, non ti serve nessun client se non un browser che supporti l'https (in pratica... tutti).
Nota: il 5505 con licenza base accetta solo 2 client ssl contemporanei.
Per la guida, googlola un attimo e la trovi!