热的 Downloads

×

注意

该论坛处于只读模式。
Welcome, 来宾
Username: Password: Remember me

TOPIC:

回复:任何人都有ASA站点到站点VPN指南 12 years 1 month ago #28769

NoNAT访问列表

代码:
访问列表acl_nat扩展许可ip any 172.29.1.0 255.255.255.0


基本上,您在这里说的是您不希望翻译任何内容。访问列表的工作方式如下:访问列表acl_nat允许ip yournetwork 255.255.255.0 remotenetwork 255.255.255.0

有趣的流量

代码:
访问列表ip_29_1扩展许可ip any 172.29.1.0 255.255.255.0


同样在这里。这里的规则说,所有流量(包括常规的http流量)都应加密。该访问列表的工作方式如下:
访问列表ip_29_1允许您的网络255.255.255.0远程网络255.255.255.0

允许所有流量出站

代码:
接口内部的access-group Allow-ALL


不需要那个。 ASA始终允许流量从较高的安全级别(内部默认为100)流向较低的安全级别(外部默认为0)





有趣的流量

代码:

ip访问列表扩展VPN-INT-TRAF
备注VPN有趣的流量
允许ip 172.29.1.0 0.0.0.255任何


同样在这里^^


同样,如果路由器不兼容,则需要配置不兼容。只需在nat访问列表中为远程网络的源网络制定拒绝规则。

希望这个对你有帮助 ;)



罗恩
目前在Neon-Networking担任Cisco工程师。

认证:
CCNA-拥有它
CCNA安全-拥有它
CCSP-差不多!!!
CCIE安全-遥不可及的梦想

回复:任何人都有ASA站点到站点VPN指南 12 years 1 month ago #28772

NoNAT访问列表

代码:
访问列表acl_nat扩展许可ip any 172.29.1.0 255.255.255.0


基本上,您在这里说的是您不希望翻译任何内容。访问列表的工作方式如下:访问列表acl_nat允许ip yournetwork 255.255.255.0 remotenetwork 255.255.255.0


是的,但仅限于172.29.1.0网络。我基本上是说我不想使用拆分隧道,并且希望我的远程站点中的所有链接都断开。这是为了允许返回流量。

有趣的流量

代码:
访问列表ip_29_1扩展许可ip any 172.29.1.0 255.255.255.0


同样在这里。这里的规则说,所有流量(包括常规的http流量)都应加密。该访问列表的工作方式如下:
访问列表ip_29_1允许您的网络255.255.255.0远程网络255.255.255.0


与上述相同的原因。这应该通过VPN集中器来完成,并且是设计使然。

允许所有流量出站

代码:
接口内部的access-group Allow-ALL


不需要那个。 ASA始终允许流量从较高的安全级别(内部默认为100)流向较低的安全级别(外部默认为0)


您是非常正确的,恐怕是从ISA时代起的习惯。这仅在1中,确保允许填充,在2中,因此任何查看配置的人都知道所有内容都被允许。

有趣的流量

代码:

ip访问列表扩展VPN-INT-TRAF
备注VPN有趣的流量
允许ip 172.29.1.0 0.0.0.255任何


同样在这里^^


同样,如果路由器不兼容,则需要配置不兼容。只需在nat访问列表中为远程网络的源网络制定拒绝规则。


与上述原因相同

希望这个对你有帮助 ;)



罗恩


感谢您抽出宝贵的时间。我仍然似乎无法发现导致此问题的原因。

有人发现连接VPN的问题吗?

干杯

韦恩
韦恩·墨菲
Firewall.cx团队成员
www.hengshuiwuliu.com

现在在英国一家名为Sec-1 Ltd的安全公司工作
渗透测试工作访问 www.sec-1.com 或PM我了解详细信息。

回复:任何人都有ASA站点到站点VPN指南 12 years 1 month ago #28774

如果您愿意,我可以在隧道可以工作的现场环境中发布配置。

但是使用真的没有意义"any"在VPN访问列表中,只会造成麻烦。



罗恩
目前在Neon-Networking担任Cisco工程师。

认证:
CCNA-拥有它
CCNA安全-拥有它
CCSP-差不多!!!
CCIE安全-遥不可及的梦想

回复:任何人都有ASA站点到站点VPN指南 12 years 1 month ago #28775

如果您愿意,我可以在隧道可以工作的现场环境中发布配置。

但是使用真的没有意义"any"在VPN访问列表中,只会造成麻烦。

罗恩


抱歉,但是我在那里与你不同意。我看到许多使用"any"在VPN访问中,停止拆分隧道并强制所有流量进入主站点,以确保对所有流量实施集中化策略。

没关系的配置:wink:
韦恩·墨菲
Firewall.cx团队成员
www.hengshuiwuliu.com

现在在英国一家名为Sec-1 Ltd的安全公司工作
渗透测试工作访问 www.sec-1.com 或PM我了解详细信息。

回复:任何人都有ASA站点到站点VPN指南 12 years 2 weeks ago #29026

得到这个排序。我遇到的问题是因为版本8(版本7可能还?)具有DefaultL2LGroup,您的隧道组从中获取设置。以下命令将列出它;

[code:1] sh运行所有隧道组[/ code:1]

这将给出以下输出(很有意思)

隧道组DefaultL2LGroup类型ipsec-l2l
隧道组DefaultL2LGroup通用属性
没有会计服务器组
默认组策略DfltGrpPolicy
隧道组DefaultL2LGroup ipsec属性
没有预共享密钥
对等身份验证要求
无链
没有信任点
isakmp keepalive阈值10重试2


如您所见,默认的组策略设置为DfltGrpPolicy,在我的配置中,它允许多个协议(sslvpn也使用此协议)。因此,在调试中抱怨隧道组和默认策略没有匹配的协议。

因此,我创建了自己的组策略,并将隧道组设置为使用它。嘿,一切顺利。

然后,唯一的其他问题是与我有关,需要迫使所有流量沿着隧道并通过单独的网关。

有趣流量的访问列表在ASA和路由器上工作正常(即使我读到要关闭拆分隧道,您只是使用了标准访问列表,但在加密映射中不允许这样做,因此我必须保留我的访问列表)。

无论如何,我需要通过内部Web过滤软件将流量发送到另一个网关之外,流量沿隧道传输正常,但是ASA尝试将其路由到Internet本身,而不是将流量扔回到内部。网络从另一个网关流出。解决方法是在route命令的末尾使用tunneled选项。

[code:1]路线[interface] [ipaddress] [subnet] [gateway] tunneled
例如路由内部0 0 172.28.1.5隧道化[/ code:1]
韦恩·墨菲
Firewall.cx团队成员
www.hengshuiwuliu.com

现在在英国一家名为Sec-1 Ltd的安全公司工作
渗透测试工作访问 www.sec-1.com 或PM我了解详细信息。

基本ASA到ASA的站点到站点以及默认路由设置 11年11个月之前 #29647

Hi folks,

抱歉,这似乎对我寻求汤匙喂食的方式有所帮助。但是我尽力了。我撞到了砖墙。因此,如果有人愿意发布两个ASA 5505(8.x)的完整工作基本配置以及与站点到站点VPN的对话,默认路由将转到ASA number 2(在这里我可以将其粘贴到ASA),我真的会非常感激。

在我的场景中,我已经设置了正确的加密映射和正确的镜像ACL,转换集,NAT和IP对等体,ASA甚至不会尝试连接,它们不会启动连接。不知道为什么。我已经完成了CLI中的所有操作,因为ASDM无法正常工作。

超级谢谢!
建立页面的时间:0.114秒

CCENT / CCNA

思科公司 Routers

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec VPN
  • IPSec模式

思科公司 Help

  • 视窗 8 VPN客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置