Cisco ASA 5510: VPN с разделенным туннелем. Странное поведение
Я работаю с Cisco ASA 5510.
Я включил удаленное VPN-соединение с радиусовой аутентификацией для двух разных внутренних сетей:
- 10.1.0.0/16
- 10.10.0.0/16 из пула мобильных VPN 192.168.111.0/24.
Настройка отлично работает на 10.1.0.0/16 и полностью проваливается на 10.10.0.0/16 (vpn), даже если я настраиваю оба одинаково.
Я включил отладку ICMP-трассировки:
- Когда я пингуюсь от VPN 192.168.111.1 до 10.1.2.2, я вижу, что пинг и ответ проходят через шлюз.
- Когда я пинг 10.10.2.2 из 192.168.111.1, пинг даже не отображается на трассе. Он теряется до шлюза, но маршрут на удаленном клиенте существует и хорошо настраивается программным обеспечением cisco vpn.
Это сводит меня с ума. Любое руководство приветствуется.
Моя конфигурация может быть прочитана из:
- здесь (я скрываю только публичный IP и пароль)
1 ответ
Мы нашли решение для того, почему это не работало от кого-то, у кого была точно такая же проблема:
Прямо сейчас я могу подключиться, аутентификация работает, разделенное туннелирование работает, но я не могу получить доступ к внутренней локальной сети. Я вижу, что пакеты входят, но они не могут выйти. Я долго смотрю вокруг и не могу понять, как разрешить пакеты обратно в туннель.
Сообщаемое решение:
no ip local pool Local_IPs 192.168.1.200-192.168.1.220 mask 255.255.255.0
no access-list inside_nat0_outbound extended permit ip any 192.168.1.0 255.255.255.0
ip local pool Local_IPs 192.168.2.1-192.168.2.15 mask 255.255.255.240
access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.240
nat (inside) 0 access-list inside_nat0_outbound
Извлеченный из: