Cisco VPN 客户端通过 IPSec VPN 路由 - ACL?

网络工程 思科 虚拟专用网 思科-ios 访问控制
2022-02-03 14:51:10

我可以远程访问加利福尼亚的具有安全固件许可证的 Cisco 2821 路由器,并通过 IPSec 隧道连接到纽约的一个站点。在纽约方面,有一个 RFC 1918 IP 方案10.0.0.0/8洛杉矶一侧是172.17.0.0/16在路由器上,有一个 VPN 通过以下命令分发 IP:

ip local pool Pool-1 192.168.50.1 192.168.50.30*

问题是,当我(或任何其他客户端)连接到远程计算机上的 VPN 时,他们获得了一个 IP 地址(如下所示),但仍然无法联系10.0.0.0/8网络。他们仍然可以访问本地网络和互联网,但我不确定是否通过 VPN 访问互联网。它可能正在通过他们正常的家庭连接。

IP 地址

尝试的解决方案:

  • 我做的第一件事是查看路由表。它没有192.168.50.0/24子网的路由,所以我添加了一些。我添加了与172.17.0.0/16网络相同的路由,因为他们可以访问,但这不起作用。
  • 在那之后,我想我应该放置一个 ACL 来允许192.168.50.0/24流量。我编辑了现有的 ACL 无济于事。

我的问题:
总而言之,VPN 客户端的 IP 地址源自路由器内部,并且都是虚拟的。我的问题是我将应用 ACL 以允许192.168.50.0/24流量的接口是什么?

其他注意事项:

  • 我也有一个同事 VPN,他无法 ping 我的 192.168.50.29 地址。
  • 实际的 IP 方案要复杂得多,但为了理智起见,我在没有 VLSM 的情况下使它们变得简单易用。
  • 当我(或另一个客户端)连接到 VPN 时,会添加一个动态 CRYPTO MAP 策略,该策略带有一个 ACL 允许所有传入流量到 IP,但没有显示允许访问的内容...
1个回答

显然您没有使用 Cisco VPN 客户端,因为它会监控路由表并立即删除您的篡改即使路由保持不变,ASA 也会忽略不属于隧道的流量。

这里有两种可能性:

  • ASA 未配置为发夹式流量
  • ASA 未配置为允许这些网络通过隧道

第一个可以通过same-security-traffic permit inter-interface和启用same-security-traffic permit intra-interface

第二个需要更改 VPN拆分隧道配置、任何限制访问的 ACL、其他网关上的路由以了解 vpn 池所在的位置,最后确保站点到站点 VPN 知道并允许该池通过其隧道。

(后者是为什么我的 ASA 代理从本地 LAN 为客户端提供 DHCP。它本质上使 VPN 客户端看起来像本地 LAN 上的节点。)

[更新]

对于 IOS,加密映射定义了隧道中的流量。(match address子句) 该信息提供给 IPSec 客户端。(它为 ACL 的每个规则创建一个安全关联 (SA)。)

(作为记录,我不再使用旧的 IPSec 客户端引擎。我更喜欢 ASA 和 IOS 上的 SSLVPN ( webvpn ) 设置——设置几乎相同。ASA-IOS 隧道仍然是旧的、复杂的crypto mapIPSec 设置.IOS-IOS隧道,我更喜欢Tunnel接口。)

其它你可能感兴趣的问题
上一篇ASA 和交换机 VLAN 配置 下一篇往返时间/传输时间告诉我们什么?