Jump to content

Bei VPN-Auswahl parallel im lokalen LAN bleiben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich suche eine Einstellmöglichkeit bei einer aktiven VPN Verbindung trotzdem im lokalen Netzwerk/Internet surfen zu können.

 

Details:

Vorhanden ist eine Cisco ASA 5510. Clients verbinden sich mit dem Cisco VPN Client und können fortan alles im Firmennetz tun. Ich möchte aber, dass bestimmte Gruppen trotzdem - während sie im Firmennetzwerk arbeiten - in Ihrem eigenen Netzwerk über LAN drucken können ohne jedesmal die Verbindung ab und wieder aufbauen zu müssen. Voraussetzung ist natürlich, dass lokales LAN und Firmenlan nicht dem gleichen Subnetz angehören - tun sie auch nicht.

 

Jetzt hab ich aber im ASDM nicht wirklich eine Einstellmöglichkeit in der Group Policy gefunden (zumindest nichts offensichtliches). Die Client-Firewall Einstellung ist breits deaktiviert.

 

In der Doku von CIsco kam ich leider nicht viel weiter :(

Link to comment
Bist du sicher? Such mal nach Splittunneling oder Split-ACL.

Hallo Wordo,

 

die Split Tunnel Policy habe ich tatsächlich. Sie ist auf "Tunnel All Network" eingestellt. Nur bin ich mir nicht sicher wie mir das genau weiterhelfen kann.

 

Laut Cisco Hilfe:

 

"Split Tunnel Policy—Specifies whether to inherit the split-tunnel policy from the default group policy or select a policy from the menu. The menu options are to tunnel all networks, tunnel those in the network list below, or exclude those in the network list below."

 

Danke für Deine Hilfe.

Link to comment
Genau, du traegst einfach die Netze ein, in die die Clients muessen (per VPN). Alles andere laeuft dann uebers normale LAN. Ist halt in Bezug auf Sicherheit etwas bedenklich.

Ja, das stimmt. Ich habe die Regel daher nur eine bestimmte Gruppe aktiviert und zwar nur für die Leute, die es auch wirklich benötigen.

 

Ich danke Dir erstmal. Ich habe folgende Änderungen gemacht:

 

Split Tunnel Policy: "Tunnel Network List Below"

Split Tunnel Network List: Neue ACL angelegt mit ACE Subnetz der Firma.

 

Jetzt muss ich das nur noch alles testen.

 

:)

Link to comment

THX, fahre aber mittlerweile Version 6 - habs dort aber auch mittlerweile gefunden. :)

 

Was mich allerdings wundert ist folgendes:

Lege ich mit dem VPN Wizzard ein RA VPN an, erhalte ich beim Einrichten von split-tunneling folgende Meldung: "You cannot select groups when you configure split tunneling"

Was ich bezwecken möchte ist, dass die RA-User nur auf eine bestimmte Gruppe Server (konfiguriert als network access-group) zugreifen dürfen. Wieso muss ich die einzeln angeben und kann die Gruppe nicht verwenden?

Link to comment
Ja, das stimmt. Ich habe die Regel daher nur eine bestimmte Gruppe aktiviert und zwar nur für die Leute, die es auch wirklich benötigen.

 

Ich danke Dir erstmal. Ich habe folgende Änderungen gemacht:

 

Split Tunnel Policy: "Tunnel Network List Below"

Split Tunnel Network List: Neue ACL angelegt mit ACE Subnetz der Firma.

 

Jetzt muss ich das nur noch alles testen.

 

:)

 

Wie ist Dein Test ausgefallen? Vielleicht kannst Du mir einen Tipp geben, bei mir läufts nämlich nicht. Der Tunnel steht, mehr aber auch nicht. :confused: .

 

access-list nat0_outbound extended permit ip object-group Server 172.16.222.0 255.255.255.252
access-list 100 extended permit tcp object-group Server 172.16.222.0 255.255.255.0

ip local pool testpool 172.16.222.1-172.16.222.2 mask 255.255.255.0

nat (ISK) 0 access-list nat0_outbound

group-policy testsplit attributes
wins-server value XXX
dns-server value XXX
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value 100
default-domain value test.de
split-dns value meinefirma.de

tunnel-group testsplit type remote-access
tunnel-group testsplit general-attributes
address-pool testpool
authentication-server-group ACS_Auth
default-group-policy testsplit
tunnel-group testsplit ipsec-attributes
pre-shared-key *

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...