Cisco Asa5510 wel VPN verbinding geen netwerk mogelijkheid

Hallo,

Ik heb het volgende probleem:

Ik heb via een ASA5510 een IPsec vpn opgezet. Verbinding maken via een client gaat prima en ben dan ook verbonden. Dit werkt via een LDAP koppeling met mijn AD, dus de verbinding naar AD heeft plaatsgevonden. Ik heb dit getest door een gebruiker te blokkeren in AD en deze kwam toen ook niet meer op de VPN verbinding. Tot zo ver gaat alles goed.
Zodra ik een VPN verbinding opgebouwd heb kan ik met geen mogelijkheid een server of client in het netwerk benaderen, pingen niet, datashare niet, RDP niet enz enz. Ook de AD welke wel te benaderen was voor authenticatie kan ik niet benaderen.

Op mijn client maak ik gebruik van de Cisco VPN Client Version 5.0.03.0560
Als ik hier in de log kijk zie ik het volgende terug, deze log wordt gegeven als er ingesteld staat "Tunnel All Networks":

Cisco Systems VPN Client Version 5.0.03.0560
Copyright (C) 1998-2007 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 3
Config file directory: C:\Program Files\Cisco Systems\VPN Client\

1 10:13:31.906 03/09/10 Sev=Warning/2 CVPND/0xE3400013
AddRoute failed to add a route: code 87
Destination 192.168.0.255
Netmask 255.255.255.255
Gateway 192.168.20.194
Interface 192.168.20.194

2 10:13:31.906 03/09/10 Sev=Warning/2 CM/0xA3100024
Unable to add route. Network: c0a800ff, Netmask: ffffffff, Interface: c0a814c2, Gateway: c0a814c2.

3 10:20:41.359 03/09/10 Sev=Warning/2 IKE/0xA3000067
Received an IPC message during invalid state (IKE_MAIN:507)

Bovenstaande log zie ik als ik op de ASA bij tunnel all networks selecteer.

Selecteer ik Tunnel network list below dan zie ik de volgende log. Overigens staat de instelling nu ingesteld op Tunnen network list below.:

Cisco Systems VPN Client Version 5.0.03.0560
Copyright (C) 1998-2007 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 3

18 12:07:50.046 03/09/10 Sev=Warning/2 CVPND/0xA3400015
Error with call to IpHlpApi.DLL: GetAdaptersInfo, error 0

Op de asa heb ik een Pool aangemaakt voor IP adres 192.168.20.193 - 192.168.20.208

Ik werk zelf altijd met de ASDM 6.1 om de cisco te configureren als je meer informatie van de config nodig hebt, graag ook even het commando erbij welke ik moet gebruiken voor het oproepen

Hieronder een tekening van de config van het netwerk. In Vlan3 zitten nog meer servers en clients maar die zijn even niet van toepassing hier. Vlan3 is het interne netwerk.
Vlan 5 is de de ASA en de DMZ.

weet iemand waar het fout gaat? Meer informatie nodig, laat het me even weten.
bedankt alvast

Tekening:




Sonda is trouwens de name van de interface

Als ik browse naar \\10.0.2.4 dan zie ik in de log "Built inbound UDP connection for outside192.168.20.194 to sonda 10.0.2.6/53" dus dit lijkt wel goed te gaan maar om 1 of andere reden werkt het toch niet :S:S

Ook mijn ISA server geeft een Initiated connection (port 445, 139) dus deze zou het ook niet tegen mogen houden. waarom kan ik dan toch de share niet zien

als ik naar de status van mijn client kijk zie ik dit:


Kan het mogelijk liggen aan de setting Local Lan: Disabled
Ik kan nergens terug vinden waar dit aan te zetten is. In de client zelf staat Allow Local Lan access gewoon aan. Zal ik dan uberhaupt de data op de isa en asa terug zien als dit disabled was??

[ Voor 41% gewijzigd door Verwijderd op 09-03-2010 12:40 ]

Hallo,

even een update.
Op dit moment heb ik binnen het netwerk nog een oud domein in de lucht welke binnenkort uitgaat. Dit is srv001 in de tekening, dit is een SBS2003 server met een eigen dmz en is verbonden met een andere interface op de ASA.
Als ik een VPN verbinding opbouw zoals in mijn eerdere bericht vermeld dan kan ik wel deze oude SBS server benaderen door bijvoorbeeld te pingen naar 10.0.1.5 of door naar \\10.0.1.5 te gaan.
Bij tunneling heb ik all networks aangezet voor de test.
De servers welke ik wil bereiken zoals die 10.0.2.4 lukt niet. Iemand enig idee waar dit fout zal gaan. Ergens een routering mogelijk niet goed?
Ik zie het verkeer wel op mijn ISA langskomen dus ping ik naar 10.0.2.4 vanaf mijn VPN client dan moet die al eerst door de ASA heen gegaan zijn voordat die de ISA bereikt, de ISA geeft een initiated connection aan.
Zie tekening hieronder hoe de config er momenteel uitziet. Ik hoop dat er iemand is met de juiste tip
bedankt alvast!
O ja let niet op de paint tekening. Op dit moment heb ik geen vrije Visio licentie dus moet het even zo doen

Hey Vicarious,

ik maak altijd gebruik van de ASDM, met commando's ben ik niet zo'n ster met de ASA.
Welk commando kan ik gebruiken?

Alvast bedankt!

Jeroen

Equator schreef op woensdag 10 maart 2010 @ 11:54:
Even wat zooi verwijderd

Thx!

Vicarious schreef op woensdag 10 maart 2010 @ 13:28:
[...]

In de ASDM kun je ook een running-config uitdraaien.

Bij het menu File staat: Show Running config in new window. Deze kopieren en hier plakken tussen code tags.

Vicarious,

is het goed dat ik deze code even naar je stuur via een prive bericht? lijkt me beter dan het zo hier op het forum te zetten.
Ik ben nu even bezig om alle externe adressen enzo eruit te filteren en te vervangen voor xxx

Eens maar zal het toch eerst even direct naar je sturen. kunnen we daarna altijd nog even kijken of ik het hier neer kan zetten

[ Voor 99% gewijzigd door Verwijderd op 10-03-2010 15:27 ]

Hallo,

The VPN werkt nu, ik kan de locale drives enzo benaderen.
Alleen heb ik geen internet (of verkeer naar buiten) als ik verbinding heb met de VPN.
Als ik in de log kijk zie ik dit:
Teardown TCP connection 14184714 for outside: 192.168.20.193/1956 to outside: 62.69.xx/80 duration 0:00:00 bytes 0 Flow is a loopback (test user).

Ik wil geen splittunneling gebruiken dit doordat wij met onze VPN een externe locatie moeten overnemen, die locatie laat alleen onze externe IP adress toe. Gebruik ik splittunneling dan heb ik locaal verkeer en internet, de gateway van mijn provider wordt dan gebruikt.
Als we geen splittunneling gebruiken dan krijg ik als gateway het IP adres welke mijn VPN client ook krijgt, op dat moment is er geen verkeer naar buiten mogelijk, iets wat we nou juist wel willen

Iemand enig idee?

Ik heb dit wel gevonden maar durf niet zomaar iets uit te voeren. Hoe is dit via de ASDM evt uit te voeren?:
This reason is given for closing a flow due to the following conditions:

•U-turn traffic is present on the flow.

•same-security-traffic permit intra-interface is not configured.

Recommendation: To allow U-turn traffic on an interface, configure the interface with the same-security-traffic permit intra-interface command.

System log messages: None.

[ Voor 86% gewijzigd door Verwijderd op 15-06-2010 08:17 ]

Vicarious schreef op maandag 14 juni 2010 @ 22:01:
Ehm... ik snap geen hol van je post Wat is nou door jou geschreven en wat is de gevonden "oplossing"?

Sorry, toen ik mijn bericht terug keek zag ik dat alles in het engels vertaald was door Goolge translate hahaha.
Ik heb het even aangepast. Mijn tekst heb ik vetgedrukt de oplossing die ik vond heb ik cursief gedaan.
Hoop dat het zo wel duidelijk is.

Bedankt alvast!

Vicarious schreef op dinsdag 15 juni 2010 @ 12:56:
Met die oplossing sta je verkeer toe naar interfaces met hetzelfde security level. Dat hoort geen kwaad te kunnen, maar ik vraag me af of dat jouw probleem wel oplost.

Volgens mij moet je namelijk gewoon een access-list aanmaken die je VPN pool toegang naar buiten toe geeft, en die uitsluiten van NATting met een nat 0-regel.

Waar zou ik dit moeten toevoegen?
Bij de standard ACL (Network list) welke ik bij de IPSec eigenschappen kan terug vinden?
Hier vind ik dan ook Extended ACL terug.
Ik heb hier nu ook aanstaan "Exclude network list below" daaronder de network list die ik aangemaakt heb geselecteerd. Ik weet ook niet of dit goed is. We willen dus de gateway van ons interne netwerk gebruiken en niet die van de internet provider

Of moet ik iets toevoegen bij de Access Rules/NAT Rules?

Mijn Ipsec pool heeft IP 192.168.20.192/27
Wat moet ik toeveogen of doen?

Als ik bijvoorbeeld naar google wil browsen zie ik wel het IP adres van google terug en erbij dathet port 80 is dus er gebeurd wel iets.

[ Voor 28% gewijzigd door Verwijderd op 15-06-2010 14:07 ]

Vicarious schreef op dinsdag 15 juni 2010 @ 18:01:
Oops, je moet hem juist NIET uitsluiten van NATting, foutje van mijn kant.

Maar om je echt verder te kunnen helpen zullen we dan toch eerst de config moeten bekijken.

Ik heb de config hier bewerkt klaar staan (externe adressen etc eruit). Ben alleen altijd huiverig om dat op een forum te plaatsen.
Is een direct message naar jullie beide niet beter?

[ Voor 29% gewijzigd door Verwijderd op 16-06-2010 08:02 ]

Dankzij Vicarious ben ik een heel eind gekomen dankzij deze link
http://www.cisco.com/en/U...ple09186a00805734ae.shtml
En dan stap 15 en 16 was erg bruikbaar .
Mocht er nog iets niet werken dan zal ik mijn config hier eens posten. Ik heb al eens vaker hulp van Vicarious gehad dus hadmijn config zijn kant al opgestuurd.
Smiley jou wil ik ook heel erg bedanken voor je hulp, ik heb nu al internet via mijn VPN dus we zijn een heel stuk verder. Jouw hulp is op dit moment (nog) niet nodig. Mocht het zo zijn dan zal ik je een DM sturen, geweldig