Cisco Anyconnect nao navega com Proxy squid do Pfsense
-
@allancarlos a VPN no ASA tá configurada como split tunnel?
https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/119006-configure-anyconnect-00.html -
@mcury Opa mestre, nesse caso o ASA provavelmente esta na rede interna da nossa empresa parceira, ai nesse caso nao tenho como informar a resposta para essa pergunta. Conectamos a VPN usando o Cisco AnyConnect Secure Mobility Client
-
@allancarlos Você pode verificar no computador que está conectado a VPN ai de dentro.
Pode verificar as rotas no computador quando conectado a VPN, ou fazer um traceroute.netstat -n (acho que esse verifica as rotas), se a rota default estiver apontando pro tunel, significa que está usando full tunnel.
tracert -d 8.8.8.8 (esse vai mostrar o caminho do pacote confirmando que as coisas que não são para a remote network estão indo também pelo tunel). -
@mcury
Fiz o tracert, e todos os saltos deu request timed out. PS: Estou usando uma VM com windows 7, para os testes no pfsense. Mas ate nos windows 10 com licença apresenta o mesmo problema. -
@allancarlos o primeiro hop do traceroute, não precisa colar aqui.
apenas identifique se o caminho escolhido é pelo tunel ou pelo seu pfsense. -
@mcury Então mestre, pelo o que mostra no cmd, o primeiro salto é igual a esses que postei acima,. Ou eu não estou sabendo verificar?
-
@allancarlos então dá timeout logo no primeiro salto? pode ser que você esteja com full tunel e lá no ASA esteja tomando drop pela regra de firewall da VPN, que só permite acesso a rede interna da VPN.
Sugiro entrar em contato lá com a ponta remota e explicar o que está acontecendo.
O que deve ser feito é alterar a forma de funcionamento do tunel de full tunnel para split tunnel.Dessa forma, seu computador ao conectar a VPN vai ganhar uma única rota para a rede remota, não substituindo assim a rota default (0.0.0.0) para a internet.
Nessa maquina, o netstat -rn deve te mostrar as rotas como estão
-
@mcury Eu queria tirar uma ultima duvida. Quando eu desabilito o proxy da maquina, e deixo o IP liberado no Aliases do pfsense, eu consigo nevegar no site da empresa parceira e acessar sites como facebook, youtube e etc... Isso é problema é provável da configuração do ASA?
-
@allancarlos said in Cisco Anyconnect nao navega com Proxy squid do Pfsense:
Quando eu desabilito o proxy da maquina, e deixo o IP liberado no Aliases do pfsense, eu consigo nevegar no site da empresa parceira e acessar sites como facebook, youtube e etc...
Que alias seria esse e como está essa regra de firewall?
O proxy não afetaria o traceroute que deu timeout, pois não passa pelo proxy.
Pode verificar o que eu pedi a respeito do netstat -rn ? Veja se quando conectado a VPN, o gateway muda pro tunel ou não (gateway da rota default 0.0.0.0).@allancarlos said in Cisco Anyconnect nao navega com Proxy squid do Pfsense:
Isso é problema é provável da configuração do ASA?
Estou fazendo suposições pois você não me deu quase nenhuma informação técnica, apenas sintomas.
-
@mcury Esse Aliases, é meio que uma regra de liberação. No caso, podemos deixar uma maquina navegar sem os bloqueis do Squid proxy.
Sobre os testes do netstat -rn, com a vpn ativada, no primeiro salto o gateway ja muda para o tunel, ai ja pega o IP da rede da empresa parceira.
-
@allancarlos said in Cisco Anyconnect nao navega com Proxy squid do Pfsense:
Esse Aliases, é meio que uma regra de liberação. No caso, podemos deixar uma maquina navegar sem os bloqueis do Squid proxy.
É meio que? Assim não ajuda...
@allancarlos said in Cisco Anyconnect nao navega com Proxy squid do Pfsense:
Sobre os testes do netstat -rn, com a vpn ativada, no primeiro salto o gateway ja muda para o tunel
Aqui você misturou netstat -rn com traceroute, sendo que está contradizendo o que foi dito no traceroute anterior que deu timeout desde o primeiro hop.
Infelizmente vou precisar deixar outra pessoa te ajudar, sem informações eu encerro por aqui.
Boa sorte. -
@mcury Muito obrigado por disponibilizar o seu tempo. Vou pedir para alguém mais experiente da equipe que eu faço parte, escrever um outro post com mais detalhes.