Næ ekki að koma L2TP traffík gegnum Cisco ASA box

Netbúnaður, uppsetningar, WAN, LAN, heimanet og internet.

Höfundur
asgeirbjarnason
Ofur-Nörd
Póstar: 211
Skráði sig: Fim 28. Apr 2016 20:17
Reputation: 58
Staða: Ótengdur

Næ ekki að koma L2TP traffík gegnum Cisco ASA box

Pósturaf asgeirbjarnason » Lau 24. Ágú 2019 16:45

Hæ.

Ég er að reyna að skipta út Cisco 892 boxi frá Vodafone fyrir Cisco ASA eldvegg í fyrirtæki sem ég hjálpa með netmál. Ég er hinsvegar að lenda í vanda með VPN uppsetninguna þeirra. Vonandi getur einhver gefið mér einhver góð ráð.

Þau eru sem sagt með Windows þjón sem tekur við L2TP/IPSec tengingum frá internetinu en ég næ ekki að koma þeim í gegn um ASA boxið.

Það eru þrjú interface sem líklega skipta máli hérna:
  • outside (eth1/1.38), internet tengingin. Security level 0
  • inside-public-ips (eth1/2.2) lítið /29 subnet af löglegum IP tölum. Internet hlið VPN þjónsins er á þessu neti. Var með þetta security level 30 en ég prófaði að breyta því í security level 0 (til að athuga hvort same-security permit reglurnar myndu þá hleypa traffíkinni í gegn)
  • inside (eth1/2), venjulega útstöðvanetið á skrifstofunni þeirra. RFC 1918 subnet (192.168.200.0/24). Security-level 50. VPN þjónninn er með netkort á þessu subneti til að senda út af-tunnelaða traffík frá VPN notendum.

Hérna er gróf yfirlitsmynd af setupinu:
l2tp_problem.png
l2tp_problem.png (83.97 KiB) Skoðað 297 sinnum


Það eru nokkur önnur subinterface skilgreind en þau skipta líklega ekki máli varðandi þetta vandamál. Get bætt þeim upplýsingum inn sem fólk vill ef einhver heldur að það hjálpi.

Þegar ég remote desktopa mig inn á VPN þjóninn og tékka á myip.is þá fæ ég þá löglegu IP tölu sem ég bjóst við, svo ég myndi halda að þetta sé ekki NAT vandamál.

Ég strípaði burt eldveggjareglur. Setti bara inn dummy reglusett með permit ip any any, svo það ætti ekki að vera nein eldveggjaregla að stoppa traffíkina. Hvert þessara interface hefur sinn eiginn dummy access-lista.

Ég bætti inspect ipsec-pass-thru og inspect pptp í global-policy policy-mappið. Ég hef aldrei þurft að senda IPSec eða L2TP traffík gegnum ASA box (í stað þess að terminatea IPSec tunnelana beint á ASA boxinu sjálfu). Ég er svona mest að giska að einhver breyting á policy-mappinu myndi laga þetta en ég er bara ekkert sérstaklega góður í því og ég veit ekki alveg hvernig ég ætti að debuga það og hverju ég ætti mögulega að breyta. Einhverjar hugmyndir?




TankedBee
Nýliði
Póstar: 2
Skráði sig: Lau 27. Júl 2019 23:43
Reputation: 0
Staða: Ótengdur

Re: Næ ekki að koma L2TP traffík gegnum Cisco ASA box

Pósturaf TankedBee » Sun 25. Ágú 2019 14:02

Ég hef sjálfur ekki sett up cisco ASA box en ég sá að þú nefndir ekki að þú hafir forwardað portin sem L2TP/IPSec þarf.
varstu buinn að gera það ?
mér sýnist að það þurfi að vera port 500 og 4500




Kristján Gerhard
spjallið.is
Póstar: 470
Skráði sig: Mið 17. Maí 2006 20:27
Reputation: 18
Staða: Ótengdur

Re: Næ ekki að koma L2TP traffík gegnum Cisco ASA box

Pósturaf Kristján Gerhard » Sun 25. Ágú 2019 15:03

TankedBee skrifaði:Ég hef sjálfur ekki sett up cisco ASA box en ég sá að þú nefndir ekki að þú hafir forwardað portin sem L2TP/IPSec þarf.
varstu buinn að gera það ?
mér sýnist að það þurfi að vera port 500 og 4500


Mér sýnist á lýsingunni að VPN þjónninn sé með public ip tölu.




Höfundur
asgeirbjarnason
Ofur-Nörd
Póstar: 211
Skráði sig: Fim 28. Apr 2016 20:17
Reputation: 58
Staða: Ótengdur

Re: Næ ekki að koma L2TP traffík gegnum Cisco ASA box

Pósturaf asgeirbjarnason » Sun 25. Ágú 2019 15:21

Kristján Gerhard skrifaði:
TankedBee skrifaði:Ég hef sjálfur ekki sett up cisco ASA box en ég sá að þú nefndir ekki að þú hafir forwardað portin sem L2TP/IPSec þarf.
varstu buinn að gera það ?
mér sýnist að það þurfi að vera port 500 og 4500


Mér sýnist á lýsingunni að VPN þjónninn sé með public ip tölu.


Japp, VPN þjónninn er einmitt á public IP tölu. Reddit reddaði mér. Ég þurfti bara að keyra skipunina "sysopt connection permit-vpn"

Takk samt fyrir svörin.