ASA VPN:: Почему заблокированные пакеты в частной сети?
Успешно подключились к моему ASA через VPN-клиент.
Настройка: ASA >> Коммутатор >> 2 Сервера CentOS Linux
Когда я открываю локальный терминал (OSX), я могу пропинговать внутренний интерфейс на (192.168.0.1), но не на серверах, слушающих на 192.168.0.2~254
Внутренние серверы могут пинговать друг друга, а также 192.168.0.1
Похоже, что пинг-запросы VPN к серверу внутри сервера отправляются обратно через открытый интерфейс Linux-бокса (шлюз установлен на общедоступный, а не частный)
Ни в коем случае не опытный системный администратор, я попытался установить шлюз на частном интерфейсе сервера и сделал "перезапуск сервисной сети" - нет, похоже, Linux не любит несколько шлюзов?
В любом случае, было бы неплохо подключиться к VPN и иметь доступ к внутренней сети; тогда я мог заблокировать весь трафик, кроме веб-сервисов и только SSH через VPN.
Должен быть способ сделать это, идеи ценятся
1 ответ
Понимаю ли я, что на компьютерах с Linux есть две сетевые карты: одна подключена к Интернету и использует публичный IP-адрес, а другая подключена к локальной сети через ASA?
Если предположить, что это так, то похоже, что вам просто нужен статический маршрут на всех ваших компьютерах Linux для маршрутизации трафика, полученного из подсети VPN, обратно в ASA, а не в шлюз по умолчанию. В зависимости от вашего дистрибутива Linux метод добавления статического маршрута и обеспечения его устойчивости при загрузке может отличаться, но вы можете довольно легко протестировать его, просто добавив маршрут "вручную" и посмотрите, как он работает. Что-то вроде route add -net a.a.a.a netmask b.b.b.b gw c.c.c.c где aaaa - идентификатор сети подсети VPN, bbbb - маска подсети VPN-подсети, а cccc - адрес ASA. Предполагая, что ASA находится в той же подсети, что и один из сетевых адаптеров на компьютерах Linux, ответы на IP-адреса VPN будут отправляться через блоки Linux на сетевой адаптер, подключенный к подсети ASA.