ASA 5510 AnyConnect SSL VPN 到 Windows 3.1 客户端 - 已连接但未路由流量

网络工程 思科 虚拟专用网 sslvpn cisco-anyconnect
2021-07-16 17:49:20

ASA 9.1 版配置了 SSL VPN 到 Windows AnyConnect 安全移动客户端 3.1 版。VPN 过滤器 ACL 配置为允许所有流量和 ICMP,并附加到组策略。

问题:

VPN 连接成功(AnyConnect 客户端显示“已连接”),但无法通过 VPN 路由任何流量。无法 ping ASA 后面的任何内部主机,

观察:

内部网络(在 ASA 后面):10.111.11.0/24 客户端计算机上的网络:192.168.1.0/24(位于另一个 ASA 后面 - 虽然这无关紧要,因为它也不适用于其他没有 ASA 防火墙的 n/w)

ASDM 报告在 ASA 上活动的一个 AnyConnect 会话。还报告将使用上述 ACL。该 ACL 的第一条规则(请参阅下面的配置)获得了 1900 次点击,因此流量到达但似乎找不到返回的路?VPN ACL 是自动双向的,因此它应该可以工作。

在 Windows 客户端计算机上,当 VPN 使用 IP 地址 192.168.20.1 连接时,我可以看到创建了 Cisco 网络适配器。网络配置声称 192.168.20.2 是默认网关,应该是 ASA - 但我无法 ping 192.168.20.2。客户端计算机上的“路由打印”显示 192.168.20.2 也是默认网关。(这些地址是有效的 - 它们是从本地池 RemoteWorkerPool 192.168.20.1-192.168.20.254 分配的,请参见下面的配置)。

我无法从 ASA 内 ping 客户端 IP 地址 (192.168.20.1)(AnyConnect 客户端是否通常响应 ping?)

运行“show vpn-sessiondb detail svc filter name”命令在 SSL 部分显示“过滤器名称:RemoteVPNACL”,这符合我的配置 - 正在使用 ACL。

SSL密码:

“show ssl”命令显示以下内容:

接受使用 SSLv2、SSLv3 或 TLSv1 的连接并协商到 SSLv3 或 TLSv1
使用 SSLv3 开始连接并协商到 SSLv3 或 TLSv1
启用密码顺序:rc4-sha1 dhe-aes128-sha1 dhe-aes256-sha1 aes128-sha1 aes256-sha1 3des-sha1
禁用密码:des-sha1 rc4-md5 null-sha1
SSL 信任点:
  外部接口:TrustPoint1
  NP身份Ifc接口:
未启用证书身份验证

这似乎也不错 - 我使用用户名/密码身份验证。我在 Cisco 文档中找不到任何关于 3.1 客户端不能与 ASA 9.1 版一起使用的内容,但并不是 100% 清楚。

解决方案尝试:

配置最初由 ASDM 向导创建并导致此问题。从 CLI 中简单地重新创建了配置,结果相同。

将 Windows 客户端连接到另一个不受任何防火墙保护的 Internet 连接。相同的结果 - VPN 连接但没有流量可以流动。

在此配置之上为 AnyConnect 配置了 IPSec VPN - 结果相同,我获得连接,但没有流量。

Cisco VPN 故障排除程序没有给我任何有用的提示。

我确信某处存在一个非常基本的错误,但找不到它。除了上述之外,我对如何调试或故障排除 AnyConnect VPN 连接缺乏了解。

配置(相关部分):


加密密钥生成 rsa 标签 RSA_KEYPAIR noconfirm

加密 ca 信任点 TrustPoint1
   撤销检查无
   id-usage ssl-ipsec
   没有fqdn
   主题名称 CN=ASA
   入学自我
   密钥对 RSA_KEYPAIR

加密 ca 注册 TrustPoint1 noconfirm
ssl 信任点 TrustPoint1 外部

ip 本地池 RemoteWorkerPool 192.168.20.1-192.168.20.254

sysopt 连接许可-vpn 

访问列表 RemoteVPNACL 允许 ip 192.168.20.0 255.255.255.0 任意 
访问列表 RemoteVPNACL 允许 icmp 192.168.20.0 255.255.255.0 任意 

组策略 RemoteWorkerPolicy 内部
组策略 RemoteWorkerPolicy 属性
  vpn 隧道协议 ssl 客户端
  地址池值 RemoteWorkerPool
  vpn-filter 值 RemoteVPNACL
  dns-server 值 10.111.11.5
  vpn 空闲超时 30

用户名 nepclientvpn 密码 xxxxxxxxxxxxx
用户名 nepclientvpn 属性
  vpn-group-policy RemoteWorkerPolicy

隧道组 vpnclient 类型远程访问   

隧道组 vpnclient 一般属性
  地址池 RemoteWorkerPool
  默认组策略 RemoteWorkerPolicy

隧道组 vpnclient webvpn-attributes
  组别名 nepRemote1 启用 

网络VPN
  隧道组列表启用 
  anyconnect 镜像 disk0:/anyconnect-win-3.1.05182-k9.pkg 1
  anyconnect 镜像 disk0:/anyconnect-macosx-i386-3.1.05160-k9.pkg 2
  启用外部
  启用任何连接
1个回答

如果双方都表明建立了安全关联,那么就好像加密在起作用,但还有其他一些问题。

要检查的一件事是 LAN 上机器的默认网关是什么,它们是否有办法将数据包路由到 192.168.1.0/24。

其它你可能感兴趣的问题
上一篇为什么连接同一个DD WRT路由器的两台电脑不能互相ping通? 下一篇Arista:ping MLAG SVI 时出现意外结果