‹‹ 上一主题 | 下一主题 ››
发新话题
打印

ASA5520 remote vpn配置(问题已经解决)

moziyou

普通会员

Rank: 1

社区积分
0  
技术积分
74  
1 2008-8-18 09:24  只看该作者

ASA5520 remote vpn配置(问题已经解决)

小弟用太asa 5520,要求:四个接口分为:Outside(连接电信),wt(连接网通),dmz(连接公司服务),inside(连接功能内部员工上网),要求asa启动VPN服务(点对点和移动用户vpn到公司)。
现在遇到几个问题:
1.asa的用用户vpn到公司必须要cisco的vpn client软件吗?不能用微软自带的拨号程序??
2.点对点vpn:怎么跟微软的ISA进行对联?
3.现在vpn拨号进来后,却不能连接公司内部如何一台服务器(我没有做如何限制的access-list).

下面是我的配置过程:
interface g0/0
nameif Outside
security-level 0
ip address 218.5.96.84 255.255.255.240
no shu
description connect to DX
speed auto

interface g0/2
nameif DMZ
security-level 50
ip add 192.168.168.254 255.255.255.0
no shut
description connect to SERVERS
speed auto

interface g0/3
nameif Inside
Security-level 100
ip add 10.2.2.254 255.255.255.0
no shutd
description connect to OFFICE
speed auto

route Outside 0.0.0.0 0.0.0.0 218.5.96.81 1
route Inside 10.2.3.0 255.255.255.0 10.2.2.1 1

global (dmZ) 1 interface
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
nat (dmz) 1 0

static (dmz,outside) tcp 218.5.96.94 www 192.168.168.17 www
access-list 101 extended permit tcp any host 218.5.96.94 eq www
access-group 101 in interface outside
=========================================================以上要求都通过:发布网站。inside和dmz都能上网,inside可以访问dmz,
                                                           而dmz不能访问inside,(安全级别问题,正确的)



ip local pool Rvpnpool 192.168.3.2-192.168.3.200 mask 255.255.255.0

access-list nonat extended permit ip 10.2.2.0 255.255.255.0 192.168.3.0 255.255.255.0
nat (inside) 0 access-list nonat





group-policy gp_rem internal
group-policy gp_rem attributes
split-tunnel-policy tunnelspecified
dns-server value 202.101.103.55
wins-server value 192.168.168.12

username china2008 password 123
username china2008 attributes
vpn-group-policy gp_rem

crypto ipsec transform-set SET esp-des esp-md5-hmac
crypto dynamic-map DMAP 10 set transform-set SET
crypto dynamic-map DMAP 10 set reverse-route
crypto map SMAP 10 ipsec-isakmp dynamic DMAP
crypto map SMAP interface Outside
crypto isakmp enable Outside


crypto isakmp policy 10
authentication pre-share
encryption des
hash md5     
group 2
lifetime 86400
exit

crypto isakmp nat-traversal  20
sysopt connection permit-ipsec

tunnel-group ShareU type ipsec-ra
tunnel-group ShareU general-attributes
address-pool Rvpnpool
tunnel-group ShareU ipsec-attributes
pre-shared-key PassKey

================================vpn后,笔记本会全部断开,但是有默认vpn的

[ 本帖最后由 moziyou 于 2008-8-25 09:12 编辑 ]

TOP

13600526

fly to the sky

一星会员

Rank: 2

社区积分
20  
技术积分
279  
    论坛徽章 1
操作系统与服务器产品板每日发帖之星  
2 2008-8-18 10:12  只看该作者
我有个问题,你为什么不用,cisco自带的 vpn 客户端?
形式决定内容,方法决定结果.

TOP

moziyou

普通会员

Rank: 1

社区积分
0  
技术积分
74  
3 2008-8-18 10:25  只看该作者
问题是人多了,你天天跟他们说太麻烦了,而且公司大部分人不懂vpn,如果使用微软的,他们知道和163小猫拨号类似,他们人在外地也可以自己处理阿

TOP

tobylee2004

临时用户组

社区积分
0  
技术积分
2  
4 2008-8-18 13:44  只看该作者
不错,学到了VPN配置,

TOP

moziyou

普通会员

Rank: 1

社区积分
0  
技术积分
74  
5 2008-8-25 09:10  只看该作者
恭喜您,您遇上财神了,送给你6庆典金币!
现在已经知道了cisco的7.22版本不支持微软的客户段测vpn-client,(其实是不支持pptp)。

TOP

wuqiong1103

分水岭

普通会员

Rank: 1

社区积分
45  
技术积分
152  
6 2008-8-25 10:14  只看该作者
怎么不试试用ssl vpn啊,可以用浏览器直接访问的~
择善人而交, 择善书而读, 择善言而听, 择善行而从。

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题

感谢一直以来您对我们的支持!
当前时区 GMT+8, 现在时间是 2008-11-21 02:43 京ICP证060528 号

Designed By 17DST