ASA 5505 是否可以执行站点到站点 VPN 并同时通过 IPSec VPN(任何连接客户端)连接客户端?我遇到了客户端无法访问本地网络并在连接到 IPSec VPN 后在他们的计算机中失去互联网的问题。这可能是我没有太多经验的防火墙问题,但我提到了站点到站点,因为这个问题是在我们与其他位置建立 VPN 站点到站点连接之后发生的(使用 D-Link DSR-250 在其他网站,如果这很重要)
感谢您的帮助
ASA 5505 站点到站点 VPN
网络工程
思科
思科
虚拟专用网
2021-07-25 18:31:16
3个回答
使用拆分隧道进行站点到站点 VPN 时,您必须进行如下配置:
使用远程站点的公共对等地址在 ASA 上创建隧道组,将特性分配给隧道组 (ic L2L),然后分配 PSK PSK 必须在隧道两侧匹配*
Tunnel-group X.X.X.X type ipsec-l2l Tunnel-group X.X.X.X ipsec-attributes Ikev1 Pre-shared key THISISTHEKEY创建转换集
crypto ipsec ikev1 tranform-set (what ever your crypto / hashing/ encryp)创建 ACL 标识流量以通过隧道还可以防止 ASA 进行 NAT
access-list (Name) Permit ip 10.10.10.0 255.255.255.0 10.10.20.0 255.255.255.0然后创建一个隧道:
crypto map (name) 1 match address (The ACL you just created) crypto map (Same name as above) 1 set peer (remote peer public IP) crypto map (Same name as above) 1 set ikev1 transform-set (what ever you created)适用于接口
crypto map (name) interface outside
然后你可以动态 PAT (any,outside)
是的,您可以同时执行这两项操作。检查您的许可,因为您可能需要一定数量的并发连接的安全增强许可,但对于一个 S2S VPN 和少数客户端连接,您应该没问题。
您要查找的一件事是拆分隧道。如果您希望您的客户端在连接到 VPN 时使用其本地 Internet 连接,则需要启用拆分隧道。我不记得头顶上的确切命令,但 google cisco asa split tunnel。
除了这些事情之外,还会导致问题的原因不是像前面提到的那样正确地进行 NAT。
您可以使用 CLI 中的数据包跟踪器命令或 ASDM 中的数据包跟踪器菜单项来帮助确定流量是否允许进出,是否通过 VPN 并按照您想要(或不想要)的方式进行 NAT到。
如前所述,需要拆分隧道,隧道所有网络,但本地网络使用以下内容;
创建标准 acl:
access-list Local-NET standard permit host 0.0.0.0
!
!
通过您的团体政策:
split-tunnel-policy excludespecified
split-tunnel-network-list value Local-NET
其它你可能感兴趣的问题