Il 02/11/2010 21.04, Anna ha scritto:
Salve a tutti, stò provando a configuare per la prima volta una vpn
ssl con il client anyconnect.
Una volta autenticato con il client vpn riesco ad accedere alle
risorse lato “lan” .
Quello che non sono riuscito a configurare è consentire client in vpn
di accedere alle risorse internet passando per l’ASA.
Sostanzialmente non mi escono i paccheti destinati all’esterno.
Sapreste dirmi dove sbaglio?
Vi ringrazio anticipatamente per la risposta.
Network inside:1.1.1.0
Network outside:192.168.8.0
Network Ssl:192.168.100.0
Ciao.
Una premessa: nella conf vedo che usi la stessa access-list (lantolan)
sia per il traffico di no-nat che per il traffico da mandare nel tunnel.
Ovvero, essendoci anche una crypto map anche per una L2L, è come se
mischiassi tutto.
E' vero che alla fine il traffico che mandi nel tunnel non deve subire
nat, ma ci sono casi in cui invece deve subirlo. Dunque è buona prassi
usare sempre access-list distinte per il no-nat e per i vari tunnel.
Inoltre vedo che il nat-traversal è disabilitato...
Comunque, se dici che ti funziona la parte vpn tra le lan, mi fido :O)
Tornando alla richiesta, io ho avuto la stessa necessità in passato,
ovvero di far navigare in internet delle persone collegate tramite vpn
client. Ho risolto utilizzando il comando:
/same-security-traffic permit intra-interface/
Questo perchè per standard il firewall non consente al traffico con lo
stesso security level di entrare ed uscire dalla stessa interfaccia.
Abilitando quel comando, specifichi al firewall di consentire questo
tipo di traffico.
Attenzione: il comando si attiva a livello globale, ovvero lo attivi su
tutte le interfacce.
Io però lo sconsiglio, a meno che non lo usi in contesti di prova o
similari (come ho fatto io), ovvero a titolo di studio. Il firewall
rischierebbe di essere sfruttato come testa di ponte da chiunque si
collega in vpn per scopi leciti o illeciti, senza il tuo controllo.
Questo ti costringerebbe, inoltre, ad aumentare la mole delle
access-list in entrata ed in uscita su ogni interfaccia, non solo sulla
outside. Lavoro inutile che il firewall fa da già da sè se non abiliti
quel comando.
Quello che ti consiglio, se devi applicare la cosa in ambito aziendale,
è di mettere un server proxy all'interno della rete e di specificare a
chi si collega in vpn, che per navigare tramite il firewall deve
abilitare, nel browser, il proxy che tu gli specifichi. Avresti un
controllo maggiore su "chi fa cosa".
Un saluto.
Alessio.
--
Caselle da 1GB, trasmetti allegati fino a 3GB e in piu' IMAP, POP3 e SMTP
autenticato? GRATIS solo con Email.it http://www.email.it/f
Sponsor:
Emailpaghe: le paghe in 3 click, veloce ed efficiente puoi averlo in prova
gratuita fino al 31 dicembre 2010. Cosa aspetti provalo!
Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=10684&d=3-11
_______________________________________________
http://www.areanetworking.it
http://www.areanetworking.it/blog
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug
