ASA, EasyVPN

[hegl]

Moin, moin,

sehe mal wieder den Wald vor lauter Bäume nicht...
Habe ein funktionierendes EasyVPN, lokal 10.10.10.0 und remote 192.168.10.0.
Die remote hosts können auch auf die benötigten Ressourcen zugreifen. Jetzt möchte ich aber per http aus meinem LAN (10.10.10.1) auf einen Netzwerkdrucker (192.168.10.1) im Remote-LAN zugreifen.
Ich erhalte weder eine Fehlermeldung, noch kann ich zugreifen. Auf dem EasyVPN-Client sehe ich die Pakete nicht ankommen, auf dem EasyVPN-Server sehe ich aber die Anforderung. Wo liegt der Fehler in meiner config?

Code:

ip local pool test-pool 172.16.222.1-172.16.222.3 mask 255.255.255.0

access-list inside_out permit tcp host 10.10.10.1 host 192.168.10.1 eq 80
access-list nat0 extended permit ip host 10.10.10.0 host 192.168.10.0
access-list vpn extended permit ip host 10.10.10.0 host 192.168.10.0

access-group inside_out in interface inside

nat (inside) 0 access-list nat0

group-policy TEST internal
group-policy TEST attributes
 wins-server value XXX 
 dns-server value XXX
 vpn-tunnel-protocol IPSec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value vpn
 default-domain value test.de
 split-dns value test.de
 nem enable

unnel-group TEST type remote-access
tunnel-group TEST general-attributes
 address-pool test-pool
 authentication-server-group VPN_Auth
 default-group-policy TEST

[thematrix]

Hmmm ... auf den ersten Blick sehe ich kein Routing ... fehlen die Routes in beide Netzwerke ?

Gruss,

theMatrix

[hegl]

Zitat von thematrix Hmmm ... auf den ersten Blick sehe ich kein Routing ... fehlen die Routes in beide Netzwerke ? Gruss, theMatrix

Nein, die Routes sind ok, habe ich nur oben nicht mit angegeben.

[Wordo]

Muss man die Rueckrichtung in der VPN ACL nicht auch mitangeben (in machen Faellen, habs vergessen)?

[hegl]

Bei einer site-to-site hat man die Möglichkeit die Richtung zu wählen - bidirektional, answer only, originate only. Bei RA nicht.