Jump to content

ASA VPN Problem mit ein und ausgang auf dem gleichen Interface


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo allerseits,

 

wir haben hier folgendes Szenario:

 

1 ASA 5510 auf ihr wir auf dem Outside interface ein Site 2 Site VPN mit einem zweiten STandort verbunden.

Zusätzlich dazu kann man sich per VPN Client einwählen.

Vpn in das Lan hinter der ASA geht. Versucht man nun aber vom VPNCLient zuhause auf den zweiten Standort zuzugreifen kommt:

Built inbound TCP connection xxx for outside host/port to outside host/port

Teardown TCP connection xxx for outside host/port ti outside host/port duration xx bytes 0 syn timeout.

 

Ist so etwas überhaupt machbar das man auf dem gleichen Interface rein und raus geht?

 

MFG

 

Kwel

Link to post

Mh ok so eine Frage wenn das Client VPN auf dem Outside Interface ankommt und von dort auch wieder weg geht.

 

Benötige ich dann eine NAT 0 Regel für das Outside interface ?

Source dyn_pool destination lan zweiter standort?

 

 

Naja der Paket Tracer ausgeführt auf

Outside TCP Source dyn_pool destination lan zweiter standort

sagt mir das die Acceslist Outside das paket dropped.

Edited by Kweldulf
Link to post

Habe eine Regel für Outside incoming erstellt vpn_pool adressen nach lan zweiter standort ip permit.

In der Outside Cryptomap ist eingetragen

 

acceslist outside_cryptomap extend permit ip dyn_pool zeiter_standort

 

Damit geht er im Paket Manager weiter bis VPN Lookup.

Dann sagt er acl drop flow is denied by configured rule.

 

 

Kann es hier auch sein das er die Cryptomap nicht aktualisiert?

Link to post

Ok hab alles wieder rückgängig gemacht..

 

Habe den Fehler gefunden.

Der Site 2 Site VPN hatte auf der Firewall am zweiten STandort in der Outside_Cryptomap keinen Eintrag für den dynamischen VPN Pool am Standort 1.

Daran hatte es gelegen..

 

Danke euch..

 

Wer ein ungefähres Beispiel möchte kann sich das hier mal anschauen.

Cisco Security Appliance Command Line Configuration Guide, Version 7.0 - Setting General VPN Parameters [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

 

Wobei das bei mir etwas abgewandelt ist.

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...