Næ ekki að koma L2TP traffík gegnum Cisco ASA box
Sent: Lau 24. Ágú 2019 16:45
Hæ.
Ég er að reyna að skipta út Cisco 892 boxi frá Vodafone fyrir Cisco ASA eldvegg í fyrirtæki sem ég hjálpa með netmál. Ég er hinsvegar að lenda í vanda með VPN uppsetninguna þeirra. Vonandi getur einhver gefið mér einhver góð ráð.
Þau eru sem sagt með Windows þjón sem tekur við L2TP/IPSec tengingum frá internetinu en ég næ ekki að koma þeim í gegn um ASA boxið.
Það eru þrjú interface sem líklega skipta máli hérna:
Hérna er gróf yfirlitsmynd af setupinu:
Það eru nokkur önnur subinterface skilgreind en þau skipta líklega ekki máli varðandi þetta vandamál. Get bætt þeim upplýsingum inn sem fólk vill ef einhver heldur að það hjálpi.
Þegar ég remote desktopa mig inn á VPN þjóninn og tékka á myip.is þá fæ ég þá löglegu IP tölu sem ég bjóst við, svo ég myndi halda að þetta sé ekki NAT vandamál.
Ég strípaði burt eldveggjareglur. Setti bara inn dummy reglusett með permit ip any any, svo það ætti ekki að vera nein eldveggjaregla að stoppa traffíkina. Hvert þessara interface hefur sinn eiginn dummy access-lista.
Ég bætti inspect ipsec-pass-thru og inspect pptp í global-policy policy-mappið. Ég hef aldrei þurft að senda IPSec eða L2TP traffík gegnum ASA box (í stað þess að terminatea IPSec tunnelana beint á ASA boxinu sjálfu). Ég er svona mest að giska að einhver breyting á policy-mappinu myndi laga þetta en ég er bara ekkert sérstaklega góður í því og ég veit ekki alveg hvernig ég ætti að debuga það og hverju ég ætti mögulega að breyta. Einhverjar hugmyndir?
Ég er að reyna að skipta út Cisco 892 boxi frá Vodafone fyrir Cisco ASA eldvegg í fyrirtæki sem ég hjálpa með netmál. Ég er hinsvegar að lenda í vanda með VPN uppsetninguna þeirra. Vonandi getur einhver gefið mér einhver góð ráð.
Þau eru sem sagt með Windows þjón sem tekur við L2TP/IPSec tengingum frá internetinu en ég næ ekki að koma þeim í gegn um ASA boxið.
Það eru þrjú interface sem líklega skipta máli hérna:
- outside (eth1/1.38), internet tengingin. Security level 0
- inside-public-ips (eth1/2.2) lítið /29 subnet af löglegum IP tölum. Internet hlið VPN þjónsins er á þessu neti. Var með þetta security level 30 en ég prófaði að breyta því í security level 0 (til að athuga hvort same-security permit reglurnar myndu þá hleypa traffíkinni í gegn)
- inside (eth1/2), venjulega útstöðvanetið á skrifstofunni þeirra. RFC 1918 subnet (192.168.200.0/24). Security-level 50. VPN þjónninn er með netkort á þessu subneti til að senda út af-tunnelaða traffík frá VPN notendum.
Hérna er gróf yfirlitsmynd af setupinu:
Það eru nokkur önnur subinterface skilgreind en þau skipta líklega ekki máli varðandi þetta vandamál. Get bætt þeim upplýsingum inn sem fólk vill ef einhver heldur að það hjálpi.
Þegar ég remote desktopa mig inn á VPN þjóninn og tékka á myip.is þá fæ ég þá löglegu IP tölu sem ég bjóst við, svo ég myndi halda að þetta sé ekki NAT vandamál.
Ég strípaði burt eldveggjareglur. Setti bara inn dummy reglusett með permit ip any any, svo það ætti ekki að vera nein eldveggjaregla að stoppa traffíkina. Hvert þessara interface hefur sinn eiginn dummy access-lista.
Ég bætti inspect ipsec-pass-thru og inspect pptp í global-policy policy-mappið. Ég hef aldrei þurft að senda IPSec eða L2TP traffík gegnum ASA box (í stað þess að terminatea IPSec tunnelana beint á ASA boxinu sjálfu). Ég er svona mest að giska að einhver breyting á policy-mappinu myndi laga þetta en ég er bara ekkert sérstaklega góður í því og ég veit ekki alveg hvernig ég ætti að debuga það og hverju ég ætti mögulega að breyta. Einhverjar hugmyndir?