在 ASA 防火墙上从拆分隧道到全隧道 VPN

网络工程 思科-ASA 虚拟专用网
2022-02-08 07:17:12

我看过一些关于这个的帖子,但我对这个话题仍然有点模糊。

我的任务是采用我们的拆分隧道的 VPN 解决方案并使用它进行全隧道。我正在查看我的配置,我看到在 Policy 属性下可以使隧道充满的位置。现在它设置为“split-tunnel-policy tunnelspecified”

当我进入 conf t (config) 然后 group-policy-(Policy_Name) 属性 so (config-group-policy)# 并执行?然后导航到拆分隧道策略并执行?我得到这些选项:

组策略模式命令/选项: excludespecified 仅排除 split-tunnel-network-list tunnelall 指定的网络 隧道所有 tunnelspecified 仅隧道指定 split-tunnel-network-list 的网络

将策略更改为tunnelall真的那么简单吗?还是人们遇到了无法按预期工作的问题?

另外,我没有实施现在的 VPN 解决方案。那么它在哪里说隧道指定了我如何通过 CLI 查看规范是什么?

我没有使用 ASDM。

任何帮助将非常感激。

谢谢

1个回答

思科提供 IPSEC 和 AnyConnect VPN 服务。配置也因IOS版本而异。版本 8.2 和 8.3 之间有很大的变化。

是的,您可以将其切换到 tunnelall,但还有更多问题需要解决。

第一个问题是,当 VPN 处于活动状态时,客户端本地网络上的打印机等设备将不再可访问。

如果您知道它们是什么,则使用 excludespecific 将允许访问本地网络。您可以使用 192.168.0.0/20 来允许家庭网络,但不能保证包含用户的网络。它还取决于 ASA 后面正在使用哪些 IP 子网。

客户端计算机的用户仍希望访问 Internet,并希望 ASA VPN 设备向 Internet 提供 NAT(或 PAT)服务。

其它你可能感兴趣的问题
上一篇在域间路由中,我可以使用哪些方法来指定将要遍历的 AS 集合? 下一篇DHCP 数据包——它们不总是应该被广播吗?