Hej alle, jeg har et vpn problem med ciso asa5505. Jeg har fint oprettet brugere, som logger sig fint på over IPsec VPN. De får fint ipadresse, men de kan ikke tilgå netværk, drev eller noget andet. Men har tjekket deres opsætning og den er korrekt. Hvad mangler jeg af NAT rule på Firewallen(asa5505), for at de kan se resten af netværket når de er logget på?
VPn er sat op til at alle kan se alle, når der er logget på, så det er ikke der fejlen ligger.
Det sjove eved det hele, er at jeg har en maskine, som normalt ikke er i firmaet, som jeg bruger hjemme, og hvor jeg har sat en VPN klient poå. Der logger jeg fint på, og kan åbne min outlook, som så henter mail på Exchangeserveren. Der er så to andre, som har den samme opætning, men som slet ikke kan åbne hverken Outlook eller netværksdrev..... meget underligt.
Er der nogen derude som lige har en løsning til dette mærkeligt problem??
Måske er det bare en Rule der skal indsættes på Nat'en som jeg ikke lige har sat???
Er alle brugere sat op til samme IP pool? Er der nogen af brugerne som har VPN filter defineret? Når brugerne er logget på, kan de så i VPN klienten se hvilke ip routes de modtager fra asa'en (Route Details), og vises der om der er sendt data (Tunnel Details)?
Hesa, ja alle brugere har samme pool ip. Jeg tog for sjov skyld min egen pc med hjem idag og satte den til mit net. Loggede på min vpn , og ja, så var jeg på(med en vistamaskine) Så min VPn opsætning virker altså. Jeg har endda brugt deres bruger til at logge på med, så jeg kunne teste ders brugeropsætning, men her virker det også.
Bare ikke med mine 2 kollegaers maskiner(deres vpn virkede på vores gamel pix) og det er den samme opsætning vi bruger på den nye asa5505.
Deres maskiner er XP, men det burde vel ikke have noget at sige vel?
VPN filter hos brugerne? Hvad mener du exakt? Alle brugere er sat op ens, og min egen bruger kommer fint på.....
Jeg er ved at få grå hår over det...især når jeg har klienter der virker(vista) og 2 maskiner der ikke virker(xp pro) Hvad mon der er galt?
Håber du kan hjælpe, nr du nu har læst det ovenstående.
VPN filter består af en (eller flere) access-list(er) der er tilknyttet vpn brugeren eller vpn gruppen.
Har du tjekket om VPN klienterne modtager de korrekte "Route Details" således at den nødvendige trafik faktisk bliver routed over vpn tunnellen? Umiddelbart kunne det også lyde som et NAT traversal problem, nu skriver du at det virkede på en gammel PIX - har i blot "konverteret" konfigurationen via PIX-to-ASA værktøjet fra cisco? Prøv evt. med "crypto isakmp nat-traversal".
Det sjove er jo at jeg kan logge på med alle de brugere der er oprettet, fra andre maskiner, bare ikke på de maskiner, som brugeren plejer at bruge. Kan det har noget med maskinen at gøre og ikke VPN som sådan? Er der forskel på, om man bruger klienten fra en Vista og XP maskine?
Hvis jeg skal bruge crypto isakmp nat-traversal, skal jeg så blot køre denne kommando på Command Line?
Det skal køres fra command line, ja. Jeg mistænker det fordi at når NAT traversal disables, så virker opkoblingen ikke længere hvis klienten er tilsluttet en enhed der fortager NAT. Der er dog tilfælde hvor det alligevel virker, hvorfor ved jeg faktisk ikke - men det har måske noget med at gøre at de måske ikke følger standarderne helt korrekt?
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
