2010/11/3 Alessio Paravati <[email protected]> > Il 02/11/2010 21.04, Anna ha scritto: > > Salve a tutti, stò provando a configuare per la prima volta una vpn ssl > con il client anyconnect. > > > > Una volta autenticato con il client vpn riesco ad accedere alle risorse > lato “lan” . > > Quello che non sono riuscito a configurare è consentire client in vpn di > accedere alle risorse internet passando per l’ASA. > > Sostanzialmente non mi escono i paccheti destinati all’esterno. > > Sapreste dirmi dove sbaglio? > > > > Vi ringrazio anticipatamente per la risposta. > > > > > > > > Network inside:1.1.1.0 > > Network outside:192.168.8.0 > > > > Network Ssl:192.168.100.0 > > Ciao. > Una premessa: nella conf vedo che usi la stessa access-list (lantolan) sia > per il traffico di no-nat che per il traffico da mandare nel tunnel. > Ovvero, essendoci anche una crypto map anche per una L2L, è come se > mischiassi tutto. > E' vero che alla fine il traffico che mandi nel tunnel non deve subire nat, > ma ci sono casi in cui invece deve subirlo. Dunque è buona prassi usare > sempre access-list distinte per il no-nat e per i vari tunnel. > Inoltre vedo che il nat-traversal è disabilitato... > > Comunque, se dici che ti funziona la parte vpn tra le lan, mi fido :O) > > Tornando alla richiesta, io ho avuto la stessa necessità in passato, ovvero > di far navigare in internet delle persone collegate tramite vpn client. Ho > risolto utilizzando il comando: > > *same-security-traffic permit intra-interface* > > Questo perchè per standard il firewall non consente al traffico con lo > stesso security level di entrare ed uscire dalla stessa interfaccia. > Abilitando quel comando, specifichi al firewall di consentire questo tipo > di traffico. > > Attenzione: il comando si attiva a livello globale, ovvero lo attivi su > tutte le interfacce. > Io però lo sconsiglio, a meno che non lo usi in contesti di prova o > similari (come ho fatto io), ovvero a titolo di studio. Il firewall > rischierebbe di essere sfruttato come testa di ponte da chiunque si collega > in vpn per scopi leciti o illeciti, senza il tuo controllo. Questo ti > costringerebbe, inoltre, ad aumentare la mole delle access-list in entrata > ed in uscita su ogni interfaccia, non solo sulla outside. Lavoro inutile che > il firewall fa da già da sè se non abiliti quel comando. > > Quello che ti consiglio, se devi applicare la cosa in ambito aziendale, è > di mettere un server proxy all'interno della rete e di specificare a chi si > collega in vpn, che per navigare tramite il firewall deve abilitare, nel > browser, il proxy che tu gli specifichi. Avresti un controllo maggiore su > "chi fa cosa". > > Ciao sono d'accordo con quello che dice Alessio. Guarda questi due links: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00805734ae.shtml(caso PIX/ASA) http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_configuration_example09186a008073b06b.shtml(caso router)
Mirko
_______________________________________________ http://www.areanetworking.it http://www.areanetworking.it/blog [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
