Jump to content

Bei VPN-Auswahl parallel im lokalen LAN bleiben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich suche eine Einstellmöglichkeit bei einer aktiven VPN Verbindung trotzdem im lokalen Netzwerk/Internet surfen zu können.

 

Details:

Vorhanden ist eine Cisco ASA 5510. Clients verbinden sich mit dem Cisco VPN Client und können fortan alles im Firmennetz tun. Ich möchte aber, dass bestimmte Gruppen trotzdem - während sie im Firmennetzwerk arbeiten - in Ihrem eigenen Netzwerk über LAN drucken können ohne jedesmal die Verbindung ab und wieder aufbauen zu müssen. Voraussetzung ist natürlich, dass lokales LAN und Firmenlan nicht dem gleichen Subnetz angehören - tun sie auch nicht.

 

Jetzt hab ich aber im ASDM nicht wirklich eine Einstellmöglichkeit in der Group Policy gefunden (zumindest nichts offensichtliches). Die Client-Firewall Einstellung ist breits deaktiviert.

 

In der Doku von CIsco kam ich leider nicht viel weiter :(

Link zu diesem Kommentar
Bist du sicher? Such mal nach Splittunneling oder Split-ACL.

Hallo Wordo,

 

die Split Tunnel Policy habe ich tatsächlich. Sie ist auf "Tunnel All Network" eingestellt. Nur bin ich mir nicht sicher wie mir das genau weiterhelfen kann.

 

Laut Cisco Hilfe:

 

"Split Tunnel Policy—Specifies whether to inherit the split-tunnel policy from the default group policy or select a policy from the menu. The menu options are to tunnel all networks, tunnel those in the network list below, or exclude those in the network list below."

 

Danke für Deine Hilfe.

Link zu diesem Kommentar
Genau, du traegst einfach die Netze ein, in die die Clients muessen (per VPN). Alles andere laeuft dann uebers normale LAN. Ist halt in Bezug auf Sicherheit etwas bedenklich.

Ja, das stimmt. Ich habe die Regel daher nur eine bestimmte Gruppe aktiviert und zwar nur für die Leute, die es auch wirklich benötigen.

 

Ich danke Dir erstmal. Ich habe folgende Änderungen gemacht:

 

Split Tunnel Policy: "Tunnel Network List Below"

Split Tunnel Network List: Neue ACL angelegt mit ACE Subnetz der Firma.

 

Jetzt muss ich das nur noch alles testen.

 

:)

Link zu diesem Kommentar
Unter welchem Menuepunkt stellst Du das bei der ASA denn ein? Irgendwie habe ich Tomaten auf den Augen :rolleyes:

 

In der ADSM (bei mir 5.2)...

Also erstmal wechselst Du auf Configuration -> VPN -> General -> Group policy -> Gruppe auswählen und edit klicken und dann auf den dritten Reiter "Client Configuration" wechseln -> fertig :D

Link zu diesem Kommentar

THX, fahre aber mittlerweile Version 6 - habs dort aber auch mittlerweile gefunden. :)

 

Was mich allerdings wundert ist folgendes:

Lege ich mit dem VPN Wizzard ein RA VPN an, erhalte ich beim Einrichten von split-tunneling folgende Meldung: "You cannot select groups when you configure split tunneling"

Was ich bezwecken möchte ist, dass die RA-User nur auf eine bestimmte Gruppe Server (konfiguriert als network access-group) zugreifen dürfen. Wieso muss ich die einzeln angeben und kann die Gruppe nicht verwenden?

Link zu diesem Kommentar
Ja, das stimmt. Ich habe die Regel daher nur eine bestimmte Gruppe aktiviert und zwar nur für die Leute, die es auch wirklich benötigen.

 

Ich danke Dir erstmal. Ich habe folgende Änderungen gemacht:

 

Split Tunnel Policy: "Tunnel Network List Below"

Split Tunnel Network List: Neue ACL angelegt mit ACE Subnetz der Firma.

 

Jetzt muss ich das nur noch alles testen.

 

:)

 

Wie ist Dein Test ausgefallen? Vielleicht kannst Du mir einen Tipp geben, bei mir läufts nämlich nicht. Der Tunnel steht, mehr aber auch nicht. :confused: .

 

access-list nat0_outbound extended permit ip object-group Server 172.16.222.0 255.255.255.252
access-list 100 extended permit tcp object-group Server 172.16.222.0 255.255.255.0

ip local pool testpool 172.16.222.1-172.16.222.2 mask 255.255.255.0

nat (ISK) 0 access-list nat0_outbound

group-policy testsplit attributes
wins-server value XXX
dns-server value XXX
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value 100
default-domain value test.de
split-dns value meinefirma.de

tunnel-group testsplit type remote-access
tunnel-group testsplit general-attributes
address-pool testpool
authentication-server-group ACS_Auth
default-group-policy testsplit
tunnel-group testsplit ipsec-attributes
pre-shared-key *

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...