Ciao a tutti,
Ho creato una VPN ipsec 3des sha (remote to site) su ASA 5505 con lo wizard da pannello di management web
ho 2 problemi che non riesco a risolvere :
premetto che dalla sede remota mi connetto tramite Cisco-vpnclient 5.0.02.0090-k9.exe
1° Problema :
quando la vpn si stabilisce se vado a fare ipconfig l'asa assegna alla mia scheda di rete
Indirizzo IP. . . . . . . . . . . . . : 5.115.62.206
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 5.115.62.201 <<<<-------- ????
il problema principale è che mi assegna anche il gateway e questo non mi permette più di poter navigare con la mia adsl (come si fa a far in modo che l'ASA assegni all'interfaccia ethernet solamente ip e subnet ??? e non mi dia il secondo gateway ???)
2°Problema:
Se mi collego attraverso reti adsl che hanno il doppio nat per portare gli ip pubblici statici (tipo fastweb) praticamente l'autenticazione VPN si stabilisce ma poi non passa alcun pacchetto , nemmeno si riescono a pingare gli indirizzi della rete interna ,(questo è una limitazione di ipsec da quello che ho capito) con lo wizard non da possibilità di poter risolvere questo problema , leggendo su google ho capito che potrebbe essere un problema di nat-transversal e di Reverse route injection (RRI) ma non riesco a capire dal pannello web di management dell'asa dove e come posso configurare questi parametri .
Grazie per un tempestivo aiuto !!!!
ASA 5505 Problema VPN - URGENTE tnx
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
1) Split tunnel
2) NAT-Traversal
2) NAT-Traversal
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Riesci ad accedere in telnet \ ssh al firewall?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
AlexRossi
- n00b
- Messaggi: 5
- Iscritto il: ven 04 apr , 2008 9:35 am
ciao , visto che nessuno mi rispondeva ho letto un caso simile su questo forum in un'altro post ed ho trovato la seguente linea di comando " crypto isakmp nat-traversal 21 "da inserire per risolvere il problema del nat traversal e sembra che ora della rete interna qualcosina pingo anche se non proprio tutto tutto ma comunque già un passo avanti quindi ora mi rimarrebbe il problema dello split tunnel e cioè far in modo che la vpn non mi assegni il gateway alla mia interfaccia di rete e mi permetta di navigare su internet mentre la vpn è attiva . . . .il telnet ssh come si abilita ??? ora non mi va nemmeno il telnet normale 
Grazie per l'aiuto !!!!
Grazie per l'aiuto !!!!
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Facci vedere la config
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
AlexRossi
- n00b
- Messaggi: 5
- Iscritto il: ven 04 apr , 2008 9:35 am
ok sono riuscito a capire che la vpn ipsec non riesce a funzionare perchè il provider fa delle cose strane e blocchi vari per cui non c'e' modo tramite ipsec . . .a questo punto vorrei fare una semplice VPN PPTP non protetta (il provider dice che così funziona) ma non ho idea di come configurarla su ASA 5505 . . .da ASDM non c'e' l'opzione per poterla creare . . .come posso fare per crearla da CLI ????
Grazie 1000
Grazie 1000
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Sei fregato!
ASA e PIX dalla ios 7 in poi non supportano + le vpn pptp poichè insicure!
Puoi configurare (c'è il wizard su asdm) una vpn ssl
ASA e PIX dalla ios 7 in poi non supportano + le vpn pptp poichè insicure!
Puoi configurare (c'è il wizard su asdm) una vpn ssl
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
AlexRossi
- n00b
- Messaggi: 5
- Iscritto il: ven 04 apr , 2008 9:35 am
Cavolo non lo sapevo . . . però cercando su internet sembra che si possa fare . . . ho trovato anche questo post :
http://www.experts-exchange.com/Securit ... 43394.html
anche se non ci ho capito molto , comunque per creare una vpn SSL c'e' bisogno di un server ? ciè devo istallare qualcosa sul server oppure fa tutto l'asa ? e poi come programma client cosa devo usare ???
avete qualche guida in merito ?
grazie
http://www.experts-exchange.com/Securit ... 43394.html
anche se non ci ho capito molto , comunque per creare una vpn SSL c'e' bisogno di un server ? ciè devo istallare qualcosa sul server oppure fa tutto l'asa ? e poi come programma client cosa devo usare ???
avete qualche guida in merito ?
grazie
-
RJ45
- Network Emperor
- Messaggi: 456
- Iscritto il: mer 07 giu , 2006 6:40 am
- Località: Udine (UD)
Ciao,AlexRossi ha scritto:Cavolo non lo sapevo . . . però cercando su internet sembra che si possa fare . . . ho trovato anche questo post :
http://www.experts-exchange.com/Securit ... 43394.html
anche se non ci ho capito molto , comunque per creare una vpn SSL c'e' bisogno di un server ? ciè devo istallare qualcosa sul server oppure fa tutto l'asa ? e poi come programma client cosa devo usare ???
avete qualche guida in merito ?
grazie
mi sa che quel post si riferisce a come far passare il traffico pptp affinchè un server interno possa autenticarlo...
Per la VPN ssl non serve niente, come dice Wizard segui... il wizard
è abbastabza semplice, fa tutto l'Asa, non ti serve nessun client se non un browser che supporti l'https (in pratica... tutti).Nota: il 5505 con licenza base accetta solo 2 client ssl contemporanei.
Per la guida, googlola un attimo e la trovi!
