Как открыть доступ из внутренней сети к клиентам AnyConnect на Cisco ASA5510?

Question

[Сергей]

Добрый день коллеги!
Настроен VPN для пользователей. Подключаются через AnyConnect.
Все работает, но только в одну сторону. Клиенты подключаются к сети (имеют доступ к серверам итп), а вот я к ним не могу. Нужно банально для саппорта, установки антивирусов итп.. Даже пинги не ходят.

AnyConnect настраивал давно, через визард. Что нужно из конфига, скажите - кину листинг. Весь конфиг не вижу смысла кидать, он огромен.
Очень надеюсь на вашу помощь.

Comments

[Drno]

у клиентов маршрут пушится видимо в конфиге.
у Вас должен быть маршрут в ОС к ним....
либо он должен быть указан на шлюзе, если к нему подключены и Вы и клиенты

[Сергей]

Drno, Маршруты есть. Иначе бы пользователи не смогли бы подключаться к серверам.
Проблема как я понимаю с акссес-листами.. или может еще какой настройкой. Вот тут я уже мозг сломал

[Drno]

Сергей, еще раз... маршрут есть у пользователя, не у Вас...
ну фаерволл тоже да, должен разрешать подключение к этому пулу IP

[Сергей]

Drno, Разве маршрут не создается автоматом после подключения пользователя?
Вот это не оно разве?

[Сергей]

А если бы не было маршрута, разве обратные пакеты дошли бы до пользователя?
Даже пинги от пользователей не вернулись бы.
Но пользователи могут пинговать все внутри.
А вот изнутри их нельзя пинговать.

[Drno]

Сергей, у Вас пользователь подключен к VPN серваку, допустим с IP 172.16.1.2
Вы подключены к этому же шлюзу? на котором VPN сервак? Если нет - Ваш ПК просто незнает что это за адрес такой 172.16.1.2.... потому что у него(к примеру) IP 192.168.1.2...
поэтому системе надо указать маршрут
что то типа route add 172.16.1.0 mask 255.255.255.0 192.168.1.1 (IP шлюза через который можно туда дойти)

[Сергей]

Drno, Это не сервак. А CISCO ASA 5510
она же является шлюзом.
Сервер подключен к ней через внутреннюю сеть.
ASA - шлюз по умолчанию у сервера
VPN поднят на ней же.
Маршрут на сервере нет смысла писать, потому что шлюз по умолчанию является VPN сервером.
И повторюсь, если бы были проблемы с маршрутами, то пользователи VPN не смогли бы пинговать сервер

[Drno]

Сергей, VPN сервер в моем сообщении - просто имеется ввиду где развернут VPN.

С сервера(на который они заходят) клиенты пингуются? А с вашего ПК? чо трассерт показывает?

[Сергей]

Drno, Если вы не знаете что такое Cisco ASA, то боюсь вы не сможете мне помочь
Я знаю что такое маршруты, 30 лет уже как сисадмин. У меня вопросы касаемо Cisco. И поможет только тот кто в них разбирается.
Давайте не будем тратить время друг друга

[Drno]

Сергей, я не работал и не хочу работать с cisco, т.к. они мне ненравятся.
Но сети работаю на всех ротуерах одинаково.
Ок. закончили тогда

[Сергей]

poisons, Да я подозреваю что проблема в том, что трафик идет не в шифрованный канал. Или нужно ACL-ы подправить.
Но тут бы по настройкам пройтись, нужен специалист
Но CISCO в последнее время не популярна, мало кто разбирается или помнит что и как.