ЗДравствуйте, есть файерволл ASA5506
Cisco Adaptive Security Appliance Software Version 9.6(4)6
Device Manager Version 7.9(1)151Лицензии такие
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 5 perpetual
Inside Hosts : Unlimited perpetual
Failover : Disabled perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 10 perpetual
Total VPN Peers : 12 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total TLS Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Cluster : Disabled perpetualПробовал через asdm настроить anyconnect vpn, все сделал по методичке, назначил порт 443, но он не поднимается, подключиться не получается. Все перепроверил. В свзи с этим вопрос, может
AnyConnect Premium Peers : 2 perpetual
не достаточно лицензий?
> AnyConnect Premium Peers
> : 2
> perpetual
> не достаточно лицензий?Для личного пользования должно хватать.
Покажите конфиг и sh webvpn anyconnect
>> AnyConnect Premium Peers
>> : 2
>> perpetual
>> не достаточно лицензий?
> Для личного пользования должно хватать.
> Покажите конфиг и sh webvpn anyconnectВОт кусок конфига
ip local pool anyconnect_pool 192.168.133.10-192.168.133.60 mask 255.255.255.0
interface GigabitEthernet1/8
nameif outside
security-level 90
ip address X.X.X.X 255.255.255.192
access-list outside_access_in extended permit icmp any4 any4 unreachable
access-list outside_access_in extended permit icmp any4 any4 time-exceeded
access-list outside_access_in extended permit icmp any4 any4 echo
access-list outside_access_in extended permit icmp any4 any4 echo-reply
access-list outside_access_in extended permit icmp any4 any4 traceroute
access-list outside_access_in extended permit tcp any4 any4 eq https
access-list SPLIT_Tunnel remark To the local network
access-list SPLIT_Tunnel standard permit 192.168.0.0 255.255.0.0
access-list AnyConnect_Client_Local_Print extended deny ip any4 any4
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq lpd
access-list AnyConnect_Client_Local_Print remark IPP: Internet Printing Protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 631
access-list AnyConnect_Client_Local_Print remark Windows' printing port
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 9100
access-list AnyConnect_Client_Local_Print remark mDNS: multicast DNS protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.251 eq 5353
access-list AnyConnect_Client_Local_Print remark LLMNR: Link Local Multicast Name Resolution protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.252 eq 5355
access-list AnyConnect_Client_Local_Print remark TCP/NetBIOS protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 137
access-list AnyConnect_Client_Local_Print extended permit udp any4 any4 eq netbios-nsnat (inside,outside) source dynamic internet_access_via_asa interface
nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.133.0_26 NETWORK_OBJ_192.168.133.0_26 no-proxy-arp route-lookupaccess-group outside_access_in in interface outside
Настройки ааа опущу, т.к. авторизация через ssh работает нормально, далее
http server enable 8443
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto map infolada_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto ca trustpoint ASDM_TrustPoint0
enrollment self
subject-name CN=ASA5506
crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_TrustPoint0
certificate 292c585b
<...>
20d92d3d 279f9610 05a84344 beb322ba 0a41
quitcrypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outsiede client-services port 443
crypto ikev2 remote-access trustpoint ASDM_TrustPoint0ssl cipher default custom "AES256-SHA:AES128-SHA:DES-CBC3-SHA"
ssl cipher tlsv1 custom "AES256-SHA:AES128-SHA:DES-CBC3-SHA"
ssl cipher tlsv1.1 low
ssl cipher tlsv1.2 low
ssl cipher dtlsv1 custom "AES256-SHA:AES128-SHA:DES-CBC3-SHA"
ssl trust-point ASDM_TrustPoint0 outside
ssl certificate-authentication interface outside port 443webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.1.05187-k9.pkg 1
anyconnect profiles Anyconnect_VPN_client_profile disk0:/Anyconnect_VPN_client_profile.xml
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
group-policy GroupPolicy_Anyconnect_VPN internal
group-policy GroupPolicy_Anyconnect_VPN attributes
wins-server none
dns-server value 192.168.1.2 192.168.1.3
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_Tunnel
default-domain value corp.test.com
webvpn
anyconnect keep-installer installed
anyconnect dpd-interval client 20
anyconnect profiles value Anyconnect_VPN_client_profile type user
anyconnect ask none default anyconnect
dynamic-access-policy-record DfltAccessPolicytunnel-group Anyconnect_VPN type remote-access
tunnel-group Anyconnect_VPN general-attributes
address-pool anyconnect_pool
authentication-server-group actdir-srv1
default-group-policy GroupPolicy_Anyconnect_VPN
tunnel-group Anyconnect_VPN webvpn-attributes
group-alias Anyconnect_VPN enable
На всякий случай сделал еще иsysopt connection permit-vpn
Но порт 443 на внешнем интерфейсе не поднимается.
> На всякий случай сделал еще и
> sysopt connection permit-vpn
> Но порт 443 на внешнем интерфейсе не поднимается.И еще, добавил внутренний интерфейс в webvpn
webvpn
enable insideИ по внутреннему интерфейсу подключился через anyconnect. На внешнем листами все открыл, в webvpn интерфейс присутствует (все как в конфиге, приведенном выше), но почему-то никак не коннектится.
>> На всякий случай сделал еще и
>> sysopt connection permit-vpn
>> Но порт 443 на внешнем интерфейсе не поднимается.
> И еще, добавил внутренний интерфейс в webvpn
> webvpn
> enable inside
> И по внутреннему интерфейсу подключился через anyconnect. На внешнем листами все открыл,
> в webvpn интерфейс присутствует (все как в конфиге, приведенном выше), но
> почему-то никак не коннектится.Конфиг копи-пастили или вручную набивали сюда?
Может проблема в том, что crypto ikev2 enable outs<b>i</b>ede client-services port 443 ?
>[оверквотинг удален]
>>> Но порт 443 на внешнем интерфейсе не поднимается.
>> И еще, добавил внутренний интерфейс в webvpn
>> webvpn
>> enable inside
>> И по внутреннему интерфейсу подключился через anyconnect. На внешнем листами все открыл,
>> в webvpn интерфейс присутствует (все как в конфиге, приведенном выше), но
>> почему-то никак не коннектится.
> Конфиг копи-пастили или вручную набивали сюда?
> Может проблема в том, что crypto ikev2 enable outs<b>i</b>ede client-services port 443
> ?копипастил, изменил только псевдоним внешнего интерфейса вручную для простоты понимания на outside, поэтому ошибся. Я честно говоря уже оставил только ssl.
ВОобще конечно странно, добавилhttp server enable 8443
http 0.0.0.0 0.0.0.0 outside
и В правило на внеший интерфейс
access-list outside_access_in extended permit udp any4 any4 eq 8443где
access-group outside_access_in in interface outside
Изнутри пускает на asdm, с внешки также нет. Но никак не пойму чем в конфиге режется.
Ну security-level 90 на внешнем интерфейсе, на внутренних 100, но думаю это роли не играет.
Так и vpn ssl похоже аналогично режет.
Все оказалось до банальности просто: дефолтный маршрут был через другой интерфейс (на котором роутер). Надо видимо сделать route-map что трафик с 443 отправлять через outside.
> Все оказалось до банальности просто: дефолтный маршрут был через другой интерфейс (на
> котором роутер). Надо видимо сделать route-map что трафик с 443 отправлять
> через outside.Есть ли на ASA что-то вроде ip local policy как на роутерах? как бы задать это в дефолтной политике?