EASY VPN

zhang3465199

ASA easy vpn服务器端    拨号能拨入，能拿到IP地址。
但是不能访问允许访问的资源。换一个地方就有可以访问。

弱水无尘

你这个换一个地方是什么意思，是否是授权问题，能否上拓扑和配置，这样更能直接说明问题，不然只能猜测

qq360870025

把配置发上来吧  造成的原因就那么几个
1、隧道分割中包含加密的网段不存在你访问的
2、没做NAT免疫
3、路由问题 （可能性比较小）

zhang3465199

ciscoasa(config)# show run

ASA Version 7.2(4)
!
hostname ciscoasa
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address ***
!
interface GigabitEthernet0/1
nameif DMZ
security-level 50

!
interface GigabitEthernet0/2
no nameif
security-level 100
no ip address
!
interface GigabitEthernet0/3
nameif inside

ip address 172.16.168.2 255.255.255.252
!

!
ftp mode passive
access-list INSIDE extended permit ip any any
access-list OUTSIDE extended permit ip any any
access-list OUTSIDE_IN extended permit tcp any host 192.168.5.2 eq smtp
access-list boss extended permit ip any any
access-list per-icmp extended permit icmp any any
access-list outside-to-inside extended permit tcp any host *** eq pop3
access-list outside-to-inside extended permit tcp any host *** eq smtp
access-list go-vpn extended permit ip host 192.168.5.2 192.168.168.0 255.255.255.0
access-list go-vpn extended permit ip host 192.168.5.3 192.168.168.0 255.255.255.0
access-list noacl extended permit ip any any
pager lines 24
logging console debugging
logging asdm informational
mtu outside 1500
mtu DMZ 1500  
mtu inside 1500
mtu management 1500
ip local pool vpn-pool 192.168.168.20-192.168.168.49
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-711.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list go-vpn
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface smtp 192.168.5.2 smtp netmask 255.255.255.255
static (inside,outside) tcp interface pop3 192.168.5.2 pop3 netmask 255.255.255.255
access-group noacl in interface outside
access-group OUTSIDE in interface inside

route outside 0.0.0.0 0.0.0.0 ****
route inside 192.168.5.0 255.255.255.0 172.16.168.1 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
http 172.100.100.2 255.255.255.255 DMZ
http 172.100.100.0 255.255.255.0 DMZ
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ccsp esp-3des esp-sha-hmac
crypto dynamic-map ezvpn-dynamic-map 10 set transform-set ccsp
crypto dynamic-map ezvpn-dynamic-map 10 set reverse-route
crypto map cisco 10 ipsec-isakmp dynamic ezvpn-dynamic-map
crypto map cisco interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 30
ssh version 1
console timeout 0
l2tp tunnel hello 30
dhcpd lease 36000
!
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
ssl encryption des-sha1 rc4-md5

tunnel-group myezvpn type ipsec-ra
tunnel-group myezvpn general-attributes
address-pool vpn-pool
authentication-server-group (outside) LOCAL
tunnel-group myezvpn ipsec-attributes
pre-shared-key *

policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum

zhang3465199

弱水无尘 发表于 2013-3-7 10:50
你这个换一个地方是什么意思，是否是授权问题，能否上拓扑和配置，这样更能直接说明问题，不然只能猜测

ASA 5520做EASY VPN 做服务器端，让PC去拨入。换一个地方是比方说客户 在A地方拨入，可以拿到地址。看到后面发上来的配置 发现不能访问192.168.5.2和192.168.5.3 但是他在B地 可以拨入，可以拿到地址，可以访问192.168.5.2和5.3

弱水无尘

zhang3465199 发表于 2013-3-7 14:53
ASA 5520做EASY VPN 做服务器端，让PC去拨入。换一个地方是比方说客户 在A地方拨入，可以拿到地址。看到后 ...

你的客户端拨入采用的是软件客户端还是硬件的？
我看你的配置是nat豁免了192.168.5.2和192.168.5.3到192.168.168.0的流量

那么按照你的描述是客户端拿到 了ip地址，但是不能访问192.168.5.2和5.3，而你的nat只能豁免192.168.168.0到这两个地址的流量，那么你的客户端访问地方一定要是服务器分配的192.168.168.0的地址，而不是被客户端的出口路由器nat之后的ip地址

综上所述：我觉得是不是你的模式不对，应该是network-extension模式啊

弱水无尘

还有这个不会是你们公司的出口的asa设置吧？

怎么出口的acl竟然是perimit any any ？

这还是防火墙吗？

qq360870025

zhang3465199 发表于 2013-3-7 14:45
ciscoasa(config)# show run

ASA Version 7.2(4)

我觉得你因该从那边环境进行查看，你说另外地方B就能访问，而A确不能  配置上面没啥问题，那位朋友说的NAT 0问题，你配置定义的没错的，就是要避免当192.168.5.2返回数据包给192.168.168.0这个网段的时候不做NAT，正常走VPN，没做隧道分割也只是会导致所有流量走VPN，
你可以把不能访问的那个地区 登陆软件 然后你访问192.168.5.2或者3的时候 看软件上面显示的加密情况，看是否有加密把数据包发送出去，或者它自身的物理接口地址为192.168.5.0网段    也可以重新安装软件看看 检查PC的个人防火墙       这些你都可以试着去查看

qq360870025

zhang3465199 发表于 2013-3-7 14:53
ASA 5520做EASY VPN 做服务器端，让PC去拨入。换一个地方是比方说客户 在A地方拨入，可以拿到地址。看到后 ...

另外你这配置不包含用户的属性  我想了解下 你用户拨入是同一个用户还是不同用户呢，用户下面是否定义了Group-policy

弱水无尘

qq360870025 发表于 2013-3-7 18:48
我觉得你因该从那边环境进行查看，你说另外地方B就能访问，而A确不能  配置上面没啥问题，那位朋友说的NA ...

我没说他的nat豁免有问题，我是说配置了nat豁免，那么客户端就不能使用client模式的ezvpn拨号了

你的这句话什么意思？
就是要避免当192.168.5.2返回数据包给192.168.168.0这个网段的时候不做NAT，正常走VPN

你说避免上面的情况发生，难道不让他走vpn ？

qq360870025

弱水无尘 发表于 2013-3-8 12:36
我没说他的nat豁免有问题，我是说配置了nat豁免，那么客户端就不能使用client模式的ezvpn拨号了

你的这 ...

........我第一次听说做了NAT 0后不能使用client模式拨号的，我排错过的7.0~8.4以后的都支持，NAT0也经常要用到呀，如果这样就不能使用了，那未免把ASA也想的太差了点吧

做NAT0只是为了让数据包根据定义的列表不做NAT转换，正常走

我那句话的意思就是说  当192.168.5.2需要返回数据包给VPN地址池的时候，如果没有NAT 0存在的话，那么根据它的配置nat (inside) 1 0.0.0.0 0.0.0.0，那么就转化成 global (outside) 1 interface地址出去了，而且NAT优于VPN处理的，那么不匹配感兴趣的策略，就不通过VPN转发， 做了NAT0就是避免这种情况发生，正常走VPN，这就是我这句话的意思

弱水无尘

qq360870025 发表于 2013-3-8 12:49
........我第一次听说做了NAT 0后不能使用client模式拨号的，我排错过的7.0~8.4以后的都支持，NAT0也经常 ...

额  你误解我的意思了

再见...那放肆的

我愿意化蝶在你肩上落

winnerchen1

好东西，分享~

zhang3465199

现在cisco的答复是easyvpn 不更新了，都推荐SSL vpn了