ASA5505 IPSEC vpn over 3G DNS probleem - Netwerken

maandag 17 december 2012 11:46

Acties:

0 Henk 'm!

...====...

Topicstarter

Bij een klant heb ik een ASA5505 staan die IPSEC tunnels van iPads accepteerd. Er wordt gebruik gemaakt van self signed x.509 certificaten. De vpn's worden goed opgebouwd, er is verkeer mogelijk door de tunnel. Maar het DNS verkeer loopt niet goed.

Als de iPad verbonden is met een WIFI netwerk en er wordt een IPSEC vpn opgezet, dan werkt de split-dns perfect. De locale server server.test.local wordt gevonden en er kan via RDP worden ingelogd.

Als de iPad verbonden is over 3G via T-Mobile, dan wordt de IPSEC vpn goed opgezet, is er verkeer mogelijk, maar werkt de split-dns niet. De locale server kan niet gevonden worden. Er kan wel via he ipadres worden ingelogd op RDP.

Er wordt gebruik gemaakt van dezelfde profielen bij het inloggen, dus het enige verschil zit in het gebruikte externe netwerk. Ik kan zelf geen oorzaak bedenken waarom het over WIFI wel werkt en over 3G niet, het lijkt me dat als de vpn goed wordt opgezet er toch verder geen verschil kan zijn?

maandag 17 december 2012 21:57

Acties:

0 Henk 'm!

Vicarious

☑Rekt | ☐ Not rekt

Heb ik ook gehad, maar dan met Vodafone en Windows 7. Destijds opgelost met deze link: http://www.citrix.com/lang/English/lp/lp_1680845.asp

Heb jij ben ik bang alleen weinig aan, aangezien je met iPads connect. Het is waarschijnlijk een driver issue met je 3G-kaart of een foutje in de VPN software die gebruikt wordt op de iPad.

edit: misschien dit? http://support.apple.com/kb/TS3389 . Ik ga ook maar gewoon google af met de zoektermen cisco vpn 3g ipad dns

[ Voor 17% gewijzigd door Vicarious op 17-12-2012 22:02 ]

Vicariously I live while the whole world dies

maandag 17 december 2012 22:19

Acties:

0 Henk 'm!

Bl@ckbird

En als je test met SSL VPN? Standaard heeft de ASA 2 premium SSL VPN licenties. Op http://www.cisco.com/go/license kan je een 90 dagen trial Mobile licentie aanvragen. Je kan dan Anyconnect SSL VPN client draaien op de iPad.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

dinsdag 18 december 2012 12:42

Acties:

0 Henk 'm!

compubink

...====...

Topicstarter

Bedankt Vicarious, dat topic had ik inderdaad ook gevonden, maar het leek mij nog geen verklaring te geven voor het verschil over 3G en WIFI. Het gaat over multicast dns, wat volgens mij alleen wordt gebruikt door Apple devices.

Ik zal het eens proberen met SSL VPN, ik krijg volgende week een andere ASA5505 voor een andere locatie.

Maar ik zou toch graag de oorzaak willen weten van het niet werken over 3G. Als er eenmaal een werkende SA is opgebouwd, dan worden de pakketjes toch op dezelfde wijze verzonden, onafhankelijke van het onderliggende netwerk? Waar kan dan het verschil nog inzitten?

De klant wil alleen met AnyConnect Essentials werken, aangezien dat qua licentiekosten veel voordeliger is. De ASA5505 kan nu 10IPSEC tunnels opzetten, met als beveiliging self signed X.509 met XAUTH authenticatie. Dit is qua beveiliging afdoende. De SSL VPN zal toch ruim €500 extra kosten, een behoorlijke investering voor een klein bedrijf.

dinsdag 18 december 2012 14:26

Acties:

0 Henk 'm!

skai21

Hoe staat je split-tunneling ingesteld?

16 x JaSolar 335Wp | 5430Wp | GOODWE 4K-DT

dinsdag 18 december 2012 15:24

Acties:

0 Henk 'm!

Vicarious

☑Rekt | ☐ Not rekt

compubink schreef op dinsdag 18 december 2012 @ 12:42:
Bedankt Vicarious, dat topic had ik inderdaad ook gevonden, maar het leek mij nog geen verklaring te geven voor het verschil over 3G en WIFI. Het gaat over multicast dns, wat volgens mij alleen wordt gebruikt door Apple devices.

Een iPad is toch een apple device?

Heb je overigens recente firmware draaien etc.? Ik vind namelijk ontzettend veel issues met VPN en Apple devices uit 2008. Kan zijn dat e.e.a. is opgelost met nieuwe firmware.

Vicariously I live while the whole world dies

dinsdag 18 december 2012 15:37

Acties:

0 Henk 'm!

Bl@ckbird

compubink schreef op dinsdag 18 december 2012 @ 12:42:
De SSL VPN zal toch ruim €500 extra kosten, een behoorlijke investering voor een klein bedrijf.

L-ASA-AC-M-5505= en L-ASA-AC-E-5505= kosten samen 200 Dollar list. Hier gaan dan nog wat kortingen vanaf. Dus hoe je aan 500,- Euro komt weet ik even niet.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

dinsdag 18 december 2012 21:35

Acties:

0 Henk 'm!

compubink

...====...

Topicstarter

Dat had ik misschien wat beter uit moeten leggen. We gebruiken VPN on-demand voor het domein test.local. Aangezien we VPN on-demand willen gebruiken, kunnen we niet zonder de VPN premium licenties, die ruim 500e kosten. We hebben gekozen voor de IPSEC verbindingen voor de iPads en client verbindingen via AnyConnect essentials voor de desktops (thuiswerkplekken).

We gebruiken de nieuwste firmware van Cisco en de nieuwste iOs op de iPads, volgens mij 6.0.1.

Split tunneling is ingesteld voor het domein test.local en Send all dns queries staat aangevinkt. De ACL is allow voor het inside-network (172.16.3.0/24).

Maar is het technisch mogelijk dat het probleem aan de ASA5505 of gebruikte VPN ligt, of kan ik dat uitsluiten omdat het via WIFI wel werkt?

dinsdag 18 december 2012 21:41

Acties:

0 Henk 'm!

compubink

...====...

Topicstarter

De 2 licenties, de mobile en de anyconnect essentials, zijn ongeveer 50e ps excl. bij een webwinkel in NL, met daarbij dan de ASA5505-50-bun-K9 voor 320e excl. is de prijs die we nu kwijt waren

De tegenhanger met premium licenties is de ASA5505-SSL10-K9 met de mobile licentie, voor 900e excl.

dinsdag 18 december 2012 23:54

Acties:

0 Henk 'm!

Vicarious

☑Rekt | ☐ Not rekt

compubink schreef op dinsdag 18 december 2012 @ 21:35:

Maar is het technisch mogelijk dat het probleem aan de ASA5505 of gebruikte VPN ligt, of kan ik dat uitsluiten omdat het via WIFI wel werkt?

Het kan aan de gebruikte VPN CLIENT op het device liggen. Er zijn in het verleden versies geweest die WWAN devices niet goed ondersteunden in Windows 7. Maar aangezien het om een iPad gaat heb ik niet veel verstand van de VPN client die daarop draait.

Vicariously I live while the whole world dies

woensdag 19 december 2012 10:54

Acties:

0 Henk 'm!

Bl@ckbird

Dat verklaart... Premium licenties zijn prijzig ja.. Premium en Essentials kan je overigens niet tegelijkertijd gebruiken. Cisco krijgt veel feedback om dit te veranderen, maar momenteel is het Premium of Essentials, maar niet beide.

Zie ook:
http://www.cisco.com/en/U...nt/license.html#wp1795898

Wat bedoel je overigens met on-demand VPN?

Note With the AnyConnect Essentials license, VPN users can use a web browser to log in, and download and start (WebLaunch) the AnyConnect client.

Daar heb je geen Premium licenties voor nodig. Alleen als je browser-based / clientless wil werken.

[ Voor 30% gewijzigd door Bl@ckbird op 19-12-2012 11:04 ]

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

woensdag 19 december 2012 13:43

Acties:

0 Henk 'm!

compubink

...====...

Topicstarter

De on-demand vpn is een feature van iOs.

VPN On Demand
For configurations using certificate-based authentication, iPad supports VPN On Demand. VPN On Demand will establish a connection automatically when accessing predefined domains, providing a seamless VPN connectivity experience for iPad users.
This is a feature of iOS that does not require additional server configuration. The configuration of VPN On Demand takes place via a Configuration Profile or can be configured manually on the device.

Als we dat via de Cisco AnyConnect App willen gebruiken, dan hebben we Premium licenties nodig.

woensdag 19 december 2012 13:45

Acties:

0 Henk 'm!

compubink

...====...

Topicstarter

Een document over de VPN mogelijkheden van de iPad;
https://www.apple.com/au/ipad/business/docs/iPad_VPN.pdf

Pagina: 1

Reageer