Avatar billede scorp-d Nybegynder
19. maj 2009 - 09:52 Der er 8 kommentarer

ASA 5505, Remote Access VPN med Network Extension mode

Hej.

Jeg går og roder lidt med 2 Cisco ASA 5505'ere for at se hvad de kan.


Det jeg er kommet til er at forbinde printere på et lokalnet til servere på et andet lokalnet, over VPN vha. de 2 ASA 5505'ere, men ved ikke helt hvordan jeg skal gribe det an.

Hvad det skal ende ud med er ligesom billedet nedenfor:

http://www.scorp-d.dk/ASA5505VPN.JPG

5505'ere skal koble de 2 netværk sammen, så Fx PC-1 kan få adgang til Server-1 og -2, og server-1 og -2 skal kunne få adgang til Printer-1.

Hvis jeg laver Site-To-Site eller Remote Access VPN (uden network extension mode) virker det fint, VPN-led lyser og jeg kan se at der bliver lavet en session og tildelt en IP-adresse.

Problemet kommer når jeg vil prøve Network Extension mode, her lyser VPN-led også, og én session oprettes(ASA'ens) men kan ikke rigtig få de andre computere og printere med over.

Har læst at printere og andre enheder som ikke selv kan lave auth. skal tilføjes under Easy VPN Remote -> Advanced, hvilket jeg også har gjort men der bliver ikke oprettede nogle ekstra sessions på server-delen(ved jeg så heller ikke om der skal komme) og det er ikke muligt at få forbindelse til Printer-1 fra Server-1/2 eller få fat i Server-1/2 fra PC-1.

Er der nogle som kan komme med nogle fifs til hvad jeg bør tjekke? Og om jeg har forstået det rigtig med Network Extonsion Mode!

På fohånd tak.
Scorp-D
Avatar billede mcb2001 Nybegynder
19. maj 2009 - 10:37 #1
ligger du dem i hvert sit subnet?
f.eks. Afdeling 1 på ip range 192.168.1.0 og afdeling 2 på ip range 192.168.2.0, hvor hvis ikke er det ret svært at få det til at virke.
Avatar billede scorp-d Nybegynder
19. maj 2009 - 10:46 #2
Ja net-1 inside køre på 192.168.1.0 og net-2 inside køre på 192.168.0.0

På tegningen og i mit test-miljø deres outside så på det samme net (192.168.2.0), men det skal jo så ende med at være direkte på internettet.
Avatar billede mcb2001 Nybegynder
19. maj 2009 - 10:59 #3
`jeg har ikke den store erfaring med ASA og site-to-site VPN, ved bare hvordan nogle enkelte tekniske ting skal hænge sammen.

Husker du at tildele ip-adresse til den anden ASA i den førstes LAN og omvendt?

Og får du oprettet de rigigte statiske router mellem dem?
Avatar billede scorp-d Nybegynder
19. maj 2009 - 11:19 #4
Så vidt jeg har forstået det bygger Network Extension Mode på Remote Access og ikke Site-To-Site VPN, og at der ikke foregår nogen uddelegering af IP-adresser men i stedet deler hver ASA deres private net.

Men er ikke sikker, syndes det er svært at finde konkrete oplysninger om det.

Ved godt at følgende link ikke er til ASA 5505, men det indeholder noget om Network Extension Mode:
http://fengnet.com/book/VPNconf/ch14lev1sec4.html

Men behøver man så opretter statiske Routes? Ifølge teksten virker det som om at ASA'erne selv står for det!
Avatar billede mcb2001 Nybegynder
19. maj 2009 - 11:23 #5
har du eventuelt søgt på Ciscos egen hjemmeside (via f.eks. google). Det var det jeg sidst gjorde da jeg skulle have internet adgang til folk der kom ind via VPN på min ASA 5510...
De havde fuldstændige guides i pdf, med screenshots, og forklaringer og ALT!
Avatar billede scorp-d Nybegynder
19. maj 2009 - 11:35 #6
Ja det er sådan jeg har afprøvet Site-To-Site og Remote Access (uden NEM).

Men må overse noget for det eneste jeg kan finde om NEM er opsætning af Server og overfladisk opsætning af klienten.

Men må prøve mig frem og så om jeg kan få det til at fungere på et tidspunkt.
Avatar billede justrace Novice
30. juni 2009 - 17:21 #7
Kommet videre?
Avatar billede scorp-d Nybegynder
07. juli 2009 - 14:46 #8
Nej... Endte med at bruge en cisco software client til at kalde op til den ene ASA, den computer der så lavede opkaldet havde alle printere på dens netværk delt.

Så fik alle på det ene netværk adgang til det andet netværks printere, men det er ikke optimalt, for hvis forbindelsen ryger skal der laves manuelt reconnect!

Gad bare ikke lige bruge mere tid på det, men kommer nok til at lege med det igen, bare ikke lige nu.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester