从家庭 VPN 到其他 VPN 的路由 (ASA 5505)

网络工程 思科 虚拟专用网
2021-07-08 12:58:16

我想看看这里是否有人可以帮助我从原则上回答走哪个方向。

我们有一个办公室 LAN (192.168.100.0/24) 通过 VPN 连接到生产数据中心 (10.100.0.0/16)。办公室防火墙是 ASA 5505。此外,我们还有人通过 IPSec 客户端访问从家里连接到办公室防火墙。

Home       Production
|          |
|          |
------|-----         
      |
      | outside
------------
| ASA 5505 |
|-----------
      | inside
      |
      | Office LAN

我们的问题是从家里连接时,根本无法连接到生产网络,即无法从192.168.1.2(我的家用PC)ping 10.100.34.3

我知道这里可能有一些限制,因为家庭端点和生产端点都进入“外部”接口。

我的问题是:

  1. 甚至可以使用 Cisco ASA 5505 设置此拓扑吗?如果是这样,您如何使流量从一个 VPN 连接流向另一个?
  2. 如果不可能,你如何使它成为可能?在 ASA 后面放置一个 L3 交换机并将路由逻辑放在那里?

这让我们很烦恼,因为我们在外面工作时不得不在办公室里通过跳转主机和 SSH 转发,这真的很耗时,而且并不适用于所有情况。

2个回答

是的,使用 Cisco 5505 可以实现此配置。它被称为 VPN 发夹,因为来自外部接口的流量传入,然后通过相同的外部接口路由回出站。

此配置有三个关键组件。

1) 允许进/出同一接口的通信

same-security-traffic permit intra-interface

2) 将 RAS VPN 池 IP 空间添加到感兴趣的站点到站点 VPN 流量中。

 access-list (vpn-acl-name) extended permit ip object Vpn-Pool ip object Data-Centre-IPs

3) 为从外到外的相关流量添加一个no-nat条目

nat (outside,outside) source static Vpn-Pool Vpn-Pool destination static Data-Centre-IPs Data-Centre-IPs

这是假设您使用的是 8.3 后的代码。

您需要 VPN 客户端工作站上的 10/8 网络路由,指向 VPN 网关地址或接口。(客户端可能认为 10/8 超过了默认网关)

这可以在 VPN 客户端应用程序中配置,但也可以在 VPN 连接出现后运行的简单批处理文件中完成。

某些 VPN 实现允许服务器端将此信息传递给客户端。这仅取决于您使用的是什么。您不需要主动路由来解决此问题。

您还应该查看 VPN 服务器专用接口上的 ACL,因为它们也可能限制流量。

其它你可能感兴趣的问题
上一篇IPSec隧道中的端口 下一篇Wireshark Etherent II Trailer 领域?