Vpn client faq
Содержание:
- Как установить Cisco VPN Client на ПК
- Resolved Caveats
- Prerequisites
- Загрузка дистрибутива Cisco VPN Client
- Authenticate Groups and Users Externally through RADIUS
- Предварительные условия
- Скулы
- python — как удалить строку из csv, если она содержит определенное слово?
- Configure the Cisco AnyConnect Secure Mobility Client
- Поймите, какая у вашего письма цель
- Verify
- Настройка доступа к локальной сети для VPN-клиентов или клиента AnyConnect Secure Mobility Client
- Настройка
- Prerequisites
- Похожие приложения
- Конфигурация маршрутизатора PPTP
- Known Caveats
- Configure Local LAN Access for VPN Clients or the AnyConnect Secure Mobility Client
Как установить Cisco VPN Client на ПК
Для установки ВПН клиент Cisco на Windows 7, 8 не требуется дополнительных действий. Скачайте Cisco VPN Client по ссылкам ниже и запустите инсталятор. Если у вас Windows 10, то потребуются некоторые дополнения, так как программа не поддерживаться разработчиками с 2016 года (проблема решена и программа работает на системе 10).
Обычный процесс такой: скачиваем установочный файл и запускаем его — «Мастера установки» — кликаем «Next». Далее принимаем соглашение. Далее указываем папку для инсталляции — «Browse» — выбираем каталог. Затем — «Next». По окончании на экране появится сообщение о завершении, кликаем -«Finish».
Настройка:
- «Connection Entry» — имя подключения;
- «Host» — поставить IP-адрес удаленного сервера;
- «Name» — указать имя лица, от которого будет подключение;
- «Password» — указать пароль от группы;
- «Confirm Password» — повторно пароль.
Далее кликаете «Save». Выбираете из списка и нажимаете «Connect». Если процесс подключения пройдет успешно, вы увидите соответствующее уведомление и иконку в трее. VPN готов к использованию!
Resolved Caveats
shows the caveats that Release 5.0.07 resolves.
Table 2 Resolved Caveats
ID
Headline
CSCsi26001
unity xp-vista: reauth on rekey with saved password causes disconnect
CSCsr08760
VPN client does not handle IP option properly under Vista
CSCsr11437
IGMP packets from the Vista discovery service are getting encapsulated
CSCta07697
SetMTU needs to support Dial-Up Networking on Vista.
CSCta96341
ENH: unity client with SBL shows error message with firewall detected
CSCtb00682
VPN Client can’t connect for certain period after forcible termination
CSCtb85181
VPN Client will not connect to headend if PCF is read only
CSCtd08761
PC reboots if physical link is disrupted during a VPN connection
Prerequisites
Requirements
This sample configuration assumes that the PIX is fully operational and configured with the necessary commands in order to handle traffic as per the security policy of the organization.
Components Used
The information in this document is based on these software and hardware versions:
-
PIX Software Release 6.3(1)
Note: This setup was tested on PIX Software Release 6.3(1) and is expected to work on all later releases.
-
Cisco VPN Client version 4.0.3(A)
Note: This setup was tested on VPN Client version 4.0.3(A) but works on earlier releases back to 3.6.1 and up to the current release.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Загрузка дистрибутива Cisco VPN Client
Хочется сразу оговориться, что скачать Cisco VPN Client для Windows 10 x64, с официального сайта нет возможности.https://www.cisco.com Дистрибутив доступен лишь по партнерскому договору и только после оплаты. Бесплатная регистрация на портале также не принесет результатов.
В сети очень много предложено инсталляционных пакетов, но загрузка с того или иного портала и последствия для машины – полностью под Вашу ответственность. Что касается Cisco anyconnect VPN Client Windows 7 x64, то абсолютно бесплатно скачать можно с официального портала.https://www.cisco.com/assets/sol/sb/isa500_emulator/help/guide/ah1195632.html
Данная версия рассчитана для домашнего пользования и позволит пользователю установить дистрибутив на платформы:
- Linux Intel (ядро 2.6.x);
- Windows XP SP2 + (32-x и 64-x);
- Windows 7 (32-x и 64-x);
- Mac OS X 10.5, 10.6.x и 10.7.
Функционал Cisco VPN Client позволяет:
- обезопасить локальную сеть;
- сохранить полную анонимность в Internet и скрыть реальный IP адрес;
- подключаться к сети по защищенному каналу связи.
Authenticate Groups and Users Externally through RADIUS
The VPN 3000 Concentrator can also be configured to authenticate Users and Groups externally through a RADIUS server. This still requires the names of the Groups to be configured on the VPN Concentrator, but the Group Type is configured as «External.»
-
External Groups can return Cisco/Altiga attributes if the RADIUS server supports Vendor Specific Attributes (VSAs).
-
Any Cisco/Altiga attributes NOT returned by RADIUS default to the values in the Base Group.
-
If the RADIUS server does NOT support VSAs, then ALL attributes default to the Base Group attributes.
Note: A RADIUS server treats Group names no differently than User names. A Group on a RADIUS server is configured just like a standard User.
These steps outline what happens when an IPSec Client connects to the VPN 3000 Concentrator if both Users and Groups are authenticated externally. Similar the internal case, up to four authentications can take place.
-
The Group is authenticated via RADIUS. The RADIUS server can return many attributes for the group or none at all. At a minimum, the RADIUS server needs to return the Cisco/Altiga attribute «IPSec Authentication = RADIUS» to tell the VPN Concentrator how to authenticate the User. If not, the Base Group’s IPSec Authentication method needs to be set to «RADIUS.»
-
The User is authenticated via RADIUS. The RADIUS server can return many attributes for the user or none at all. If the RADIUS server returns the attribute CLASS (standard RADIUS attribute #25), the VPN 3000 Concentrator uses that attribute as a Group name and moves to Step 3, or else it goes to Step 4.
-
The user’s Group is authenticated next via RADIUS. The RADIUS server can return many attributes for the group or none at all.
-
The «Tunnel Group» from Step 1 is authenticated again via RADIUS. The authentication subsystem must authenticate the Tunnel Group again because it has not stored the attributes (if any) from the authentication in Step 1. This is done in case the «Group Lock» feature is used.
Предварительные условия
Требования
Перед проведением настройки убедитесь, что выполняются следующие условия:
-
Соединению по протоколу IPsec назначен пул адресов;
-
Для клиентов VPN группа с названием 3000clients обладает предварительно распространенным ключом коллективного пользования cisco123;
-
Для клиентов VPN аутентификация групп и пользователей осуществляется на маршрутизаторе локально;
-
Для туннеля между локальными сетями используется параметр no-xauth для команды ISAKMP key.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:
-
Маршрутизатор под управлением операционной системы Cisco IOS Release 12.2(8)T;
Примечание. Сведения, содержащиеся в данном документе, были недавно проверены для операционной системы Cisco IOS Release 12.3(1). В связи с этим никаких изменений вносить не требуется.
-
Cisco VPN Client для Windows версии 4.х (любая программа VPN Client версии 3.x и выше).
Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие на сеть всех команд.
Ниже приведены результаты выполнения команды show version на маршрутизаторе.
Условные обозначения
Дополнительные сведения об условных обозначениях см. в документе «Технические рекомендации Cisco. Условные обозначения».
Скулы
Говоря о рельефе лица, конечно же, первым делом мы остановимся на скулах. Именно скулы являются основным признаком женственности, именно их выделяют при любом макияже (для этого и существуют румяна).
Многие женщины, постоянно пользующиеся декоративной косметикой, умеют правильно рисовать скулы. Всем остальным мы предлагаем такую подсказку: мысленно проведите линию от уголка губ до верхней точки уха — область под этой линией мы и будем затемнять.
Если вы сомневаетесь, как далеко накладывать виртуальные «румяна» в направлении от уха ко рту, можете мысленно провести вертикальную линию через зрачок глаза. Она и будет для вас ориентиром. Залезете слишком далеко — получите «рыбье лицо».
Чтобы сделать скулу ещё более выпуклой, можно её осветлить (как вы уже поняли по схеме, осветляется область над красной линией).
При этом для осветления мы рекомендуем использовать кисть с меньшей непрозрачностью — параметр Opacity в районе 10%.
Конечно, для получения адекватного результата нужно потренироваться. К сожалению, многие горе-ретушёры, прекрасно владеющие технической стороной метода, уродуют своих моделей из-за непонимания анатомии женского лица. Как минимум, вы должны представлять, где эти самые скулы должны быть, и где они быть не могут. Кстати, тут тоже на помощь приходят многочисленные схемы, созданные для обучения визажистов — Гугл вам в помощь.
python — как удалить строку из csv, если она содержит определенное слово?
Configure the Cisco AnyConnect Secure Mobility Client
In order to configure the Cisco AnyConnect Secure Mobility Client, refer to the section of ASA 8.x : Allow Split Tunneling for AnyConnect VPN Client on the ASA Configuration Example.
Split-exclude tunneling requires that you enable AllowLocalLanAccess in the AnyConnect Client. All split-exclude tunneling is regarded as local LAN access. In order to use the exclude feature of split-tunneling, you must enable the AllowLocalLanAccess preference in the AnyConnect VPN Client preferences. By default, local LAN access is disabled.
In order to allow local LAN access, and therefore split-exclude tunneling, a network administrator can enable it in the profile or users can enable it in their preferences settings (see the image in the next section). In order to allow local LAN access, a user selects the Allow Local LAN access check box if split-tunneling is enabled on the secure gateway and is configured with the split-tunnel-policy exclude specified policy. In addition, you can configure the VPN Client Profile if local LAN access is allowed with <LocalLanAccess UserControllable=»true»>true</LocalLanAccess>.
User Preferences
Here are the selections you should make in the Preferences tab on the Cisco AnyConnect Secure Mobility Client in order to allow local LAN access.
XML Profile Example
Here is an example of how to configure the VPN Client Profile with XML.
<?xml version="1.0" encoding="UTF-8"?><AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AllowLocalProxyConnections>true</AllowLocalProxyConnections> <AuthenticationTimeout>12</AuthenticationTimeout> <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">true</LocalLanAccess> <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin> <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend </AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="false">Automatic </RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Disable <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <EnableAutomaticServerSelection UserControllable="false">false <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> <RetainVpnOnLogoff>false </RetainVpnOnLogoff> </ClientInitialization></AnyConnectProfile>
Поймите, какая у вашего письма цель
Verify
On the VPN Client, a successfully established connection to the remote gateway is indicated by these items:
-
A yellow closed-lock icon appears against the active connection entry.
-
The Connect icon on the toolbar (next to the Connection Entries tab) changes to Disconnect.
-
The status line at the end of the window shows the status as «Connected to» followed by the connection entry name.
Note: By default, once the connection is established, the VPN Client minimizes to a closed-lock icon in the system tray, on the bottom-right corner of the Windows task bar. Double click the closed-lock icon in order to make the VPN Client window visible again.
On the PIX Firewall, these show commands can be used to verify the status of the established connections.
Note: Certain show commands are supported by the Output Interpreter Tool (registered customers only) , which allows you to view an analysis of show command output.
-
show crypto ipsec sa—Shows all the current IPsec SAs on the PIX. In addition, the output shows the remote peer’s actual IP address, the IP address assigned, the local IP address and interface, and the applied crypto map.
-
show crypto isakmp sa—Shows the status of the ISAKMP SA built between peers.
Настройка доступа к локальной сети для VPN-клиентов или клиента AnyConnect Secure Mobility Client
Выполните следующие действия, чтобы разрешить клиентам Cisco VPN или Cisco AnyConnect Secure Mobility доступ к их локальной сети при наличии подключения к устройству ASA:
- или
Настройка ASA через ASDM
Выполните следующие действия в ASDM, чтобы разрешить клиентам VPN доступ к локальной сети при наличии подключения к устройству ASA:
- Выберите Configuration> Remote Access VPN> Network (Client) Access> Group Policy (Конфигурация > VPN для удаленного доступа > Доступ к сети (клиент) > Групповая политика) и выберите групповую политику, в которой следует включить доступ к локальной сети. Затем нажмите Edit (Редактировать).
- Перейдите в меню Advanced > Split Tunneling (Дополнительно > Разделенное туннелирование).
- Снимите флажок Inherit (Наследовать) для политики и выберите Exclude Network List Below (Исключить список сетей ниже).
- Снимите флажок Inherit (Наследовать) для списка сетей и затем нажмите Manage (Управление), чтобы запустить диспетчер списков контроля доступа (ACL Manager).
- В приложении ACL Manager, последовательно выберите Add > Add ACL…, чтобы создать новый список доступа.
- Укажите имя ACL и нажмите кнопку OK.
- После создания списка ACL выберите Добавить > Добавить ACE…, чтобы добавить элемент контроля доступа (ACE).
- Определите элемент контроля доступа, соответствующий локальной сети клиента.
- Выберите Permit (Разрешить).
- Выберите IP-адрес 0.0.0.0
- Выберите маску подсети /32.
- Введите описание (необязательно).
- Нажмите кнопку ОК.
- Нажмите кнопку OK, чтобы завершить работу с приложением ACL Manager.
- Убедитесь, что только что созданный список контроля доступа выбран для списка сетей разделенных туннелей.
- Нажмите кнопку OK, чтобы вернуться к настройке групповой политики.
- Нажмите кнопку Apply и затем (если потребуется) Send, чтобы отправить эти команды в модуль ASA.
Настройка ASA через интерфейс командной строки
Разрешить VPN-клиентам доступ к локальной сети при наличии подключения к ASA можно не только при помощи ASDM, но и посредством интерфейса командной строки устройства ASA:
Переход в режим конфигурирования.ciscoasa>enablePassword:ciscoasa#configure terminalciscoasa(config)#
Создайте список контроля доступа, чтобы разрешить доступ к локальной сети.ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Accessciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
Внимание. : Из-за различий в синтаксисе списка контроля доступа в версиях 8.x и 9.x программного обеспечения ASA этот список контроля доступа стал некорректным, и администраторы будут получать следующее сообщение об ошибке при попытке его настройки:rtpvpnoutbound6(config)# access-list test standard permit host 0.0.0.0Ошибка: недопустимый IP-адресМожно использовать только следующую команду:rtpvpnoutbound6(config)# access-list test standard permit any4 Это известная неполадка, для обхода которой был создан идентификатор ошибки Cisco CSCut3131. Выполните обновление до версии, в которой исправлена эта ошибка, чтобы иметь возможность настроить доступ к локальной сети. Перейдите в режим настройки для групповой политики, которую необходимо изменить.ciscoasa(config)#group-policy hillvalleyvpn attributesciscoasa(config-group-policy)#
Укажите политику раздельных туннелей. В данном случае используется политика excludespecified.ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
Укажите список доступа к разделенным туннелям. В данном случае используется список Local_LAN_Access.ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
Введите следующую команду:ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
Привяжите групповую политику к туннельной группеciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
Выйдите из обоих режимов конфигурирования.ciscoasa(config-group-policy)#exitciscoasa(config)#exitciscoasa#
Сохраните конфигурацию в энергонезависимой памяти (NVRAM) и нажмите клавишу ВВОД, когда будет предложено указать имя файла источника. ciscoasa#copy running-config startup-configSource filename ?Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a3847 bytes copied in 3.470 secs (1282 bytes/sec)ciscoasa#
Настройка
В этом разделе содержатся сведения о настройке функций, описанных в этом документе.
Примечание. Для поиска дополнительной информации о командах, приведенных в данном документе, используйте инструмент Средство поиска команд (только для зарегистрированных пользователей).
Схема сети
В настоящем документе используется следующая схема сети:
Примечание. Схемы IP-адресации, используемые в этой конфигурации, нельзя использовать для маршрутизации в Интернете. Это адреса RFC 1918 , которые использовались в лабораторной среде.
Варианты конфигурации
В этом документе используются следующие конфигурации:
Маршрутизатор |
---|
VPN#show run Building configuration... Current configuration : 2170 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname VPN ! boot-start-marker boot-end-marker ! ! aaa new-model ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! ! username user password 0 cisco ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 crypto isakmp client configuration group vpnclient key cisco123 dns 10.10.10.10 wins 10.10.10.20 domain cisco.com pool ippool acl 101 ! crypto ipsec transform-set myset esp-3des esp-md5-hmac ! crypto dynamic-map dynmap 10 set transform-set myset reverse-route ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! ! interface Ethernet0/0 ip address 10.10.10.1 255.255.255.0 half-duplex ip nat inside interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map clientmap ! interface Serial2/0 no ip address ! interface Serial2/1 no ip address shutdown ! interface Serial2/2 no ip address shutdown ! interface Serial2/3 no ip address shutdown ! ip local pool ippool 192.168.1.1 192.168.1.2 ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 172.16.1.2 ip nat inside source list 111 interface FastEthernet1/0 overload ! access-list 111 deny ip 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 111 permit ip any any access-list 101 permit ip 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255 control-plane ! line con 0 line aux 0 line vty 0 4 ! end |
Настройка VPN Client 4.8
Чтобы настроить VPN Client 4.8, выполните следующие действия.
-
Выберите Пуск > Программы > Cisco Systems VPN Client > VPN Client.
-
Нажмите New, чтобы открыть окно «Create New VPN Connection Entry» (Создание новой записи VPN-соединения).
-
Введите имя записи подключения и его описание, а также внешний IP-адрес маршрутизатора в поле «Host» и имя и пароль группы VPN. Нажмите Save.
-
Выберите подключение, которое необходимо использовать, и нажмите Connect в главном окне VPN Client.
-
При появлении соответствующего запроса введите имя пользователя и пароль для аутентификации Xauth и нажмите OK для подключения к удаленной сети.
-
ПО VPN Client соединится с маршрутизатором на центральном узле.
-
Выберите Status > Statistics, чтобы проверить статистику туннеля для VPN Client.
-
Перейдите на вкладку «Route Details» (Сведения о маршруте), чтобы увидеть маршруты маршрутизатору, защищенные клиентом VPN.
В этом примере клиент VPN защищает доступ к сети 10.10.10.0/24, а весь остальной трафик не шифруется и не отправляется по туннелю. Защищенная сеть загружается из ACL 101, который настроен на маршрутизаторе центрального узла.
Prerequisites
Requirements
Ensure that you meet these requirements before you attempt this configuration:
- SSL-enabled browser
- ASA with Version 7.1 or higher
- X.509 certificate issued to the ASA domain name
- TCP port 443, which must not be blocked along the path from the client to the ASA
Components Used
The information in this document is based on these software and hardware versions:
- ASA Version 9.4(1)
- Adaptive Security Device Manager (ASDM) Version 7.4(2)
- ASA 5515-X
The information in this document was created from the devices in a specific lab environment. All the devices used in this document began with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Похожие приложения
Конфигурация маршрутизатора PPTP
Эти команды IOS применимы ко всем платформам, поддерживающим протокол PPTP.
Маршрутизатор Cisco 2621 |
---|
2621#show run Building configuration... Current configuration : 1566 bytes ! version 12.2 service timestamps debug datetime msec localtime service timestamps log datetime msec localtime no service password-encryption ! hostname 2621 ! boot system flash logging queue-limit 100 enable secret 5 $1$dGFC$VA28yOWzxlCKyj1dq8SkE/ ! username cisco password 0 cisco123 username client password 0 testclient ip subnet-zero ip cef ! ! no ip domain lookup ip domain name cisco.com ! vpdn enable ! vpdn-group 1 accept-dialin protocol pptp virtual-template 1 ! ! ! ! ! ! ! ! ! ! voice call carrier capacity active ! ! ! ! ! ! ! no voice hpi capture buffer no voice hpi capture destination ! ! mta receive maximum-recipients 0 ! ! controller T1 0/0 framing sf linecode ami ! controller T1 0/1 framing sf linecode ami ! ! ! interface Loopback0 ip address 10.100.100.1 255.255.255.0 ip nat inside ! interface FastEthernet0/0 ip address 172.16.142.191 255.255.255.0 no ip route-cache no ip mroute-cache duplex auto speed auto ! interface FastEthernet0/1 ip address 10.130.13.13 255.255.0.0 duplex auto speed auto ! interface Virtual-Template1 ip unnumbered FastEthernet0/0 peer default ip address pool test no keepalive ppp encrypt mppe auto ppp authentication pap chap ms-chap ! ip local pool test 192.168.1.1 192.168.1.250 no ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 172.16.142.1 ! ip pim bidir-enable ! ! ! call rsvp-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 password cisco login ! ! end 2621# |
Known Caveats
Caveats describe unexpected behavior or defects in Cisco software releases.
Note If you have an account with CCO, you can use Bug Navigator II to find caveats of any severity for any release. To reach Bug Navigator II on CCO, select Software & Support: Online Technical Support: Software Bug Toolkit or navigate to http://www.cisco.com/pcgi-bin/Support/Bugtool/launch_bugtool.pl.
shows all Severities 2 and 3 caveats known to be in Release 5.0.07.0291-FIPS.
Table 1 Known Caveats
ID
Headline
CSCec02663
Auto Initiation fails on 9x/Vista on boot up
CSCsf10635
unity client disconnect-verizon evdo/at&t 3G card changed IP
CSCsi25985
unity vista: user not prompted to reconnect after sleep or hibernation
CSCsi26020
unity vista: firewall tab under stats still shows
CSCsi26050
unity vista: installshield package does not work on vista
CSCsi26086
unity vista: upgrading from xp to vista not supported
CSCsi26159
unity vista: bsod during install/uninstall/sleep with active ras
CSCsi26229
unity vista: integrated firewall not installed on vista
CSCsi35107
unity vista: start before login «sbl» not functioning
CSCsv86744
unity windows silent msi upgrade not
CSCtf48741
Cisco VPN Client incorrectly using the secondary IP address for VPN
CSCtf69573
VPN Client unable to validate certificate chain
CSCtf73767
Local DNS server contacted for FQDN in Split-DNS domain
Configure Local LAN Access for VPN Clients or the AnyConnect Secure Mobility Client
Complete these tasks in order to allow Cisco VPN Clients or Cisco AnyConnect Secure Mobility Clients access to their local LAN while connected to the ASA:
- or
Configure the ASA via the ASDM
Complete these steps in the ASDM in order to allow VPN Clients to have local LAN access while connected to the ASA:
- Choose Configuration > Remote Access VPN > Network (Client) Access > Group Policy and select the Group Policy in which you wish to enable local LAN access. Then click Edit.
- Go to Advanced > Split Tunneling.
- Uncheck the Inherit box for Policy and choose Exclude Network List Below.
- Uncheck the Inherit box for Network List and then click Manage in order to launch the Access Control List (ACL) Manager.
- Within the ACL Manager, choose Add > Add ACL… in order to create a new access list.
- Provide a name for the ACL and click OK.
- Once the ACL is created, choose Add > Add ACE… in order to add an Access Control Entry (ACE).
- Define the ACE that corresponds to the local LAN of the client.
- Choose Permit.
- Choose an IP Address of 0.0.0.0
- Choose a Netmask of /32.
- (Optional) Provide a description.
- Click OK.
- Click OK in order to exit the ACL Manager.
- Be sure that the ACL you just created is selected for the Split Tunnel Network List.
- Click OK in order to return to the Group Policy configuration.
- Click Apply and then Send (if required) in order to send the commands to the ASA.
Configure the ASA via the CLI
Rather than use the ASDM, you can complete these steps in the ASA CLI in order to allow VPN Clients to have local LAN access while connected to the ASA:
- Enter configuration mode.
ciscoasa>enablePassword:ciscoasa#configure terminalciscoasa(config)#
- Create the access list in order to allow local LAN access.
ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Accessciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
Caution: Due to changes in the ACL syntax between ASA software versions 8.x to 9.x, this ACL is no longer permited and admins will see this error message when they try to configure it:rtpvpnoutbound6(config)# access-list test standard permit host 0.0.0.0ERROR: invalid IP addressThe only thing that is allowed is:rtpvpnoutbound6(config)# access-list test standard permit any4This is a known issue and has been addressed by Cisco bug ID CSCut3131. Upgrade to a version with the fix for this bug in order to be able to configure local LAN access.
- Enter the Group Policy configuration mode for the policy that you wish to modify.
ciscoasa(config)#group-policy hillvalleyvpn attributesciscoasa(config-group-policy)#
- Specify the split tunnel policy. In this case, the policy is excludespecified.
ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
- Specify the split tunnel access list. In this case, the list is Local_LAN_Access.
ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
- Issue this command:
ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
- Associate the group policy with the tunnel group
ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
- Exit the two configuration modes.
ciscoasa(config-group-policy)#exitciscoasa(config)#exitciscoasa#
- Save the configuration to non-volatile RAM (NVRAM) and press Enter when prompted to specify the source filename.
ciscoasa#copy running-config startup-configSource filename ?Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a3847 bytes copied in 3.470 secs (1282 bytes/sec)ciscoasa#