Jump to content
Sign in to follow this  
hegl

Easy VPN

Recommended Posts

Folgendes Szenario:

 

privates Netz --- PIX als Easy VPN --- DSL-Router --- Internet --- ASA --- Firmen LAN

 

Die User aus dem privaten Netz können auch problemlos auf die Server im Firmen-LAN zugreifen. Andersherum ist es genauso möglich, aus dem Server-VLAN in das private Netz zuzugreifen.

 

Nun besteht aber die Anforderung, auch aus einem anderen VLAN im Firmen-LAN auf einen Netzwerkdrucker in dem privaten Netz zuzugreifen. Der Zugriff funktioniert aber erst dann, wenn ein Client aus dem privaten Netz in eben dieses VLAN eine Verbindung initiiert hat, d.h der Verbindungsaufbau muss aus dem privaten Netz kommen.

 

Wie kann ich das am einfachsten realisieren?

 

Habe gerade noch folgendes gefunden: Automatic tunnel initiation is disabled if secure unit authentication is enabled

 

Wo oder wie kann ich automatic tunnel initiation einschalten?

 

Zur info: konfiguriert habe ich den NEM!

Share this post


Link to post
Share on other sites
Hast du mal nen Config von der ASA ? Und was ist es für eine ASA ?

 

Erst einmal danke, dass Du Dich dem Thema annimmst.

 

Aber was willst Du mit der config bzw. dem ASA-Modell?

 

Grundsätzlich läuft der Tunnel und konfiguriert habe ich diesen über den Wizzard im ASDM, also Standard wie unter Cisco Security Appliance Command Line Configuration Guide, Version 7.2 - Configuring Easy VPN on the ASA 5505* [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems beschrieben.

 

Mittlerweile habe ich festgestellt, dass "automatic tunnel initiation" nichts mit meinem Problem zu tun hat. Der Tunnel steht, sobald die beiden device sich sehen. Aber die Zugriffe aus dem Firmen-LAN greifen erst, wenn vom privaten Netz hinter dem Easy-VPN-Client eine Verbindung initiiert wurde.

 

Wahrscheinlich ist das ja sogar so gewollt bzw Philosophie von CISCO.

 

Trotzdem würde es mich interessieren, wie es am elegantesten möglich ist, einen Zugriff auch vom Firmen-LAN zu ermöglichen.

Share this post


Link to post
Share on other sites

Nein das ist bestimmt nicht so gewollt - ich vermute eher, das auf der ASA ein Config Fehler vorliegt - desweiteren haette es sein können, das du einen Trunk Port auf einer 5505 gebaut haettest der aber leider bei der 5505 nur rennen will, wenn es draussen Sonnenschein hat. Wenn man so ein Problem wie du es oben Beschreibst hier stellt, solltest du auch anderen die chance geben, mehr Infos zu bekommen, den ASDM ist was schönes wenn er immer das tun würde was er soll und im Error Fall ist die Commandline halt um einiges besser.

 

PS: Was ist trotzdem als eine sehr gewagte Lösung ansehe, ist die Pix hinter einen DSL Router ? (Vor allem weil du von sowas in einem anderen Thread abraten tust)

 

Mfg

Share this post


Link to post
Share on other sites
Nein das ist bestimmt nicht so gewollt - ich vermute eher, das auf der ASA ein Config Fehler vorliegt - desweiteren haette es sein können, das du einen Trunk Port auf einer 5505 gebaut haettest der aber leider bei der 5505 nur rennen will, wenn es draussen Sonnenschein hat. Wenn man so ein Problem wie du es oben Beschreibst hier stellt, solltest du auch anderen die chance geben, mehr Infos zu bekommen, den ASDM ist was schönes wenn er immer das tun würde was er soll und im Error Fall ist die Commandline halt um einiges besser.

 

Bei meiner Frage nach dem Modell ging es mir darum, ob irgendwelche Probleme mit speziellen Typen bekannt sind.

Ich habe hier die ASA5520 im Einsatz und hier ist die config:

 

ip local pool easy-pool 172.16.200.1-172.16.200.6 mask 255.255.255.248

access-list ISK_nat0_outbound extended permit ip object-group LAN-IP object-group Remote-IP
access-list vpn extended permit ip object-group LAN-IP object-group Remote-IP 

group-policy EASY internal
group-policy EASY attributes
wins-server value XXX
dns-server value XXX
vpn-tunnel-protocol IPSec 
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpn
default-domain value test.de
split-dns value test.de 
nem enable

tunnel-group EASY type remote-access
tunnel-group EASY general-attributes
address-pool easy-pool
authentication-server-group VPN_Auth
default-group-policy EASY
tunnel-group EASY ipsec-attributes
pre-shared-key xxx

 

 

PS: Was ist trotzdem als eine sehr gewagte Lösung ansehe, ist die Pix hinter einen DSL Router ? (Vor allem weil du von sowas in einem anderen Thread abraten tust)

 

Mfg

 

Da bleibt mir aber keine andere Möglichkeit, da unsere Anwender auf der Remote-Site von der dortigen Firma nur einen, mit anderen Anwendern gemeinsam genutzten DSL-Anschluss zur Verfügung gestellt bekommen.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...