Originally posted by ti_pro84 View Post

vlan20---->swlayer3 3650(192.168.1.2/28)---->(192.168.1.1/28)ASA 5510(192.168.2.2/27)---->(192.168.2.1/27)ROUTER(10.0.0.1/24)---->internet

router: đã cấu hình VPN và ping được đến 192.168.2.2/27

giúp em cấu hình ASA:
- cho VLAN 20 truy cập được internet
- VPN ping được VLAN 20
Mong các thầy và các anh em chỉ giúp

Chào bạn,

Làm một số bước như sau

- PC default-route vlan 20

- SWL3 bật ip routing lên

- ASA

+ mở ACL cho các traffic từ bên ngoài đi vào mạng bên trong đặt trên interface outside
+ route tĩnh mạng thuộc vlan 20 với next-hop là 192.168.1.2
+ default-route tới 192.168.2.1
+ NAT 0 cho mạng từ VPN vào lan 20. (tức mạng này không bị NAT)
+ PAT cho mạng vlan 20 đi ra ngoài internet

- Router:
+ route tĩnh mạng vlan 20 với next-hop là ip của interface outside con ASA (192.168.2.2).
+ route tĩnh mạng 192.168.1.0/28 với next-hop là ip của interface outside con ASA (192.168.2.2).
+ Router PAT cho mạng 192.168.2.0/28 ra Internet.

em chao anh!
em gui anh cau hinh con ASA va router , anh xem dum em bi loi o dau ma van chua duoc.

FIREWALL# sh running-config
: Saved
:
ASA Version 8.2(4)
!
hostname FIREWALL
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 192.168.2.2 255.255.255.248
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.248
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
nameif DMZ
security-level 50
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
boot system disk0:/asa824-k8.bin
ftp mode passive
access-list INSIDE1_IN extended permit ip 192.168.20.0 255.255.255.0 any
access-list OUT_IN extended permit ip any any
access-list NONAT extended permit ip 192.168.20.0 255.255.255.0 192.168.5.0 255.
255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0
access-group OUT_IN in interface outside
access-group INSIDE1_IN in interface inside
route outside 0.0.0.0 0.0.0.0 192.168.2.1 1
route inside 192.168.20.0 255.255.255.0 192.168.1.2 1
route inside 192.168.30.0 255.255.255.0 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
!
prompt hostname context
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DD
CEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:2168df2c297d7b726fb3aad75965c40a
: end


ROUTER:

R_DHB#sh running-config
Building configuration...

Current configuration : 2042 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R_DHB
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
!
aaa session-id common
memory-size iomem 15
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
username damhabac password 0 D@mH@B@c2011
archive
log config
hidekeys
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnclient
key damhabac.com.vn
dns 192.168.10.24
domain damhabac.com.vn
pool ippool
acl 101
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface FastEthernet0/0
description Ket noi den INTERNET
ip address 10.0.0.1 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map clientmap
!
interface FastEthernet0/1
description Ket noi den e0/0 cua firewall asa5510
ip address 192.168.2.1 255.255.255.224
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip local pool ippool 192.168.5.50 192.168.5.150
ip forward-protocol nd
ip route 192.168.1.0 255.255.255.248 192.168.2.2
ip route 192.168.20.0 255.255.255.0 192.168.2.2
no ip http server
no ip http secure-server
!
!
ip nat inside source list 111 interface FastEthernet0/0 overload
!
access-list 101 permit ip 192.168.0.0 0.0.7.255 192.168.5.0 0.0.0.255
access-list 111 deny ip 192.168.0.0 0.0.7.255 192.168.5.0 0.0.0.255
access-list 111 permit ip any any
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
scheduler allocate 20000 1000
end
hiện tại thì quay VPN thành công rồi
và đã ping vào được đến 192.168.2.2 va 192.168.2.1
nhung khong the nao ping duoc den 192.168.1.2 va 192.168.1.1/29
- bên trong vlan 20 đã ping được đến cổng kết nối inside(192.168.2.1) của routervà internet của Router nhưng không ping đươc cổng outside của ASA
anh giúp em để VPN nó ping được đến VLAN 20
em cam on anh!

Bạn thử cái này thử:
no nat (outside) 0 192.168.5.0 255.255.255.0

access-list Outside_nat0 extended permit ip 192.168.5.0 255.255.255.0 192.168.20.0 255.255.255.0
nat (outside) 0 access-list Outside_nat0

mình thử như của bạn rồi nhưng VPN client vẫn không ping được đến VLAN 20, chỉ ping được interface outside của ASA, không ping được interface inside của ASA (trên ASA ) đã ping được vào VLAN.
client trong VLAN 20 ping được đến interface f0/0 kết nối internet của router.
không biết bị làm sao nữa

Anh Tuấn xem giúp em với em đã làm theo anh và cả thanhnam0707 rồi mà vẫn không sao VPN client ping được VLAN 20 nó chỉ ping được đến interface outside của firewall thôi ạ

Bạn không nói rõ về phần mô hình nên khó hỗ trợ cho bạn được. Bạn cho mình hỏi là:
- VPN ở đây là VPN site-to-site hay vpn client-to-site ?
- VPN ping được VLAN 20 nghĩa là sao ? thiết bị nào ở đây để bạn ping đến vlan?
- Subnet Vlan 20 có phải là 192.168.1.0/28

Bạn nói rõ chút về vấn đề này