Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

ASA 5540 VPN

Bonjour à tous

Je suis à la finalisation de l'implantation d'un remote acces VPN sur mon 5540 et j'ai un problème asser tannant.

IPSEC avec client vpn: Tous marche A1
L2TP avec client microsoft: Le tunnel marche mais impossible d'aller sur internet.

Comme il fait décocher une option sur le client pour activé le split tunneling (qui anywais ne marchais pas plus) j'essaie plustots de faire passé mon client par le 5540 pour sortir sur internet (oui ça sera plus lent mais plus simple pour mes usagers)

Mon vpn linux actuel marche exactement dememe donc c'est possible à quelques pars...

Que dois-je faire sur mon cisco pour permettre les packet de mon réseau vpn de sortir sur le net? C'est dans le NAT ?

Merci de votre aide
Hello !

Tu peux me faire voir ta conf ?

En attendant, voici comment tu pourrais faire transiter le flux Internet de tes nomades via l'ASA :


Il faut que tu autorise en un premier temps le flux entrant sur ton interface à resortir par cette dernière :

same-security-traffic permit intra-interface


Après, n'oublies pas de créer une ACL qui caracterisera uniquement l'accès Internet, du genre un deny pour tout ce qui est flux de tes clients VPN vers les sous-réseaux derrière ton ASA et un permit ip any any pour le reste :

ip local pool PoolIP-FrameIP 192.168.11.1-192.168.11.15 mask 255.255.255.0

access-list NAT-pour-VPN-nomades extended deny ip 192.168.11.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list NAT-pour-VPN-nomades extended deny ip 192.168.11.0 255.255.255.0 172.17.0.0 255.255.0.0
access-list NAT-pour-VPN-nomades extended permit ip 192.168.11.0 255.255.255.0 any


Cette ACL sera donc ensuite à appliquer dans la règle de PAT sur ton interface outside (si c'est celle ci que tu utilises pour la collecte IPsec bien sûr) :

global (outside) 1 interface
nat (outside) 1 access-list NAT-pour-VPN-nomades

(PS : n'hesites pas à créer un groupe-policy par lequel tu specifies les DNS internes par exemple, ce serait mieux pour leur permettre l'accès Internet, surtout qu'ils recupèrent l'IP de ton ASA pour le surf, qui peut être d'un FAI différent que celui de ton nomade ^^)

A+ !
Merci ton aide. je vais analyser ta solution et vérifier si je peu la tester sans faire planter reste 🙂
Cool ça marche.. thx body 🙂