Cisco ASA 5510 vpn qoshulmaya icazə
Salam yoldashlar.
Shirket daxilinde bir nece client komputerin vpn dial up connect ile diger shebekeye qoshulmasi lazim. Amma connect ederken qoshulmada error verir. Bizim firewall cisco asa 5510 du. Dushunduyum qeder de problem mehz bizim asada olmali, cunki bundan evvel bu komputerler diger shebkeden cox asan shekilde qoshulma edirdiler. Bunun ucun asa-da hansisa icazeler vermileyem, yoxsa problem nededi bunu komek etsez shad olaram.
Baxılıb: 1821 dəfə
Cavablar ( 13 )
Salam Rauf bəy,
VPN qoşulma hansı protokolla edilir ? (ipsec, pptp,l2tp)
həmin istifadəçilərin internetə asa üzərindən NAT olurlarmı?
internetə çıxışda məhdudiyyətlər tətbiq olunurmu ?
Salam,
Çox güman sizdə outside ve inside təhkim olunmuş ACL-də goşulduğunuz vpn portlarını buraxmaq lazım
Uğurlar
Cavablariniz ucun teshekkur edirem qardashlar. Qoshulmaq istediyimiz adi terminal server, routing and remote access role + vpn. Cox guman ya l2tp ya da pptp protokulu ile. Men ciscovik olmadigimdan cisco asa ile ele de ish praktikam olmayib, o uzden bunu hell etmeyin menim ucun daha elverishli yolu ne ola biler sizce?
Salamlar,
Sizin daxili şəbəkədən kənara hər hansı bir isitfadəçi vpn bağlantısı həayta keçirə bilir ?. Əgər heç bir istifadəçi bunu və yaxud bir neçə isitfadəçi həyata keçirirsə, demək ki, internladan externala bütün portlar aktiv deyil. Onun üçün siz həmin komputerlərə müəyyən icazələr verməlisiniz. Əgər ASDM-dən istifadə edirsinizə ordan rahatdır tənzimləmə aparamaq.
Uğurlar
Salam Elguc bey.
Xeyir bizim shebekeden hec bir istifadeci kenara cixa bilmir, eynen hemin problemdir. Beli men asdm-idm istifade edirem, web interface uzerinden
Rauf bəy, bəs asa-ni kim qurub, daxilden asa-dan keçərək ( chole nat olaraq) internetnə çıxmaq olur ? ilk olaraq interface-lərin ” security level ” gostericisine baxin, bu daxildən internetə trafikin getməsi üçün vacib parametrdir . security level ayaraina ASDM-də configuration- i seçib interfaces-ə daxil olmaqla baxa bilərsiniz. İnternetə baxan interface-in security level-i 0, daxili şəbəkəyə baxan interface-in security leveli ise 100 olmalıdır.
Elguc bey interface və access rule-lar shekildeki kimidir,
Rauf bəy,
Sizin bütün komputerlər bu şəbəkədən internetə çıxır ?. Porxy və s. yoxdur sistemdə. Routing bu qurğuya yönəldililib. Misal olaraq istənilən bir komputerdən tracert -d 4.2.2.2 paket göndərib yoxlaya bilərsiniz ki, data bu quruğudan axır ?.
Birdə xahiş edəcəkdim NAT rule bölməsini paylaşasınız.
Beli Elguc muellim butun komputerler bu shebekeden bu qurgu vasitesile cixir, bashqa bir proxy, firewall yoxdur. Dushunurem VPN protokol PPTP protokolu ile ishlediyinden PPTP 1723 portunu acmam lazim. Yeqin connection sonra normal geder.
Gördüyüm qədəri ilə Acess Rullar normaldır.
Əgər bundan tam əmin olmaq istəyirsinizsə müvvəqəti olaraq İnside_Lan yerine any ilə əvəz edib bir az gözlədikdən sonra VPN bağlantınızı test edin. Zəhmət olmasa NAT bölməsini və yaxud full configi ata bilərsiniz bura.
Birdə əmin olmaq üçün telnet çəkə bilərsiniz vpn adresinə görək portlar daxildən bağlıdır. NAT üzərində tam yönlədirmə varsa onda sorğu getməlidir.
misal : telnet 1.1.1.1 1723
NAT Rule
daxil olun , firewall/service selection rules orada rule-lar siyahisinda chox guman ki adi inspection _default olan rule var. onu açıb rule actions-a daxil olun, protocol ispection-da pptp-ni seçin, apply edib yoxlayın.
Eyni ilə sizin dediyiniz kimi firewall/service selection rules rule-lar siyahisinda inspection _default rule +actions+ protocol ispection-da pptp-ni seçib, apply edib save elədim və bununla da məsələ həll olundu. Hər şey üçün təşəkkür edirəm, çox sağ olun. Gec cavab verdiyim üçün üzürlü hesab edin.