Cisco Anyconnect и получение ресурсов в другой подсети
Интересно, что не так с установкой asa5510, которую я получил от некоторых парней. Пул адресов, настроенный на asa-box, является 192.168.3.0 для anyconnect.
Когда я вхожу через anyconnect, я могу получить доступ ко всем ip-адресам в моей подсети с 192.168.2.0, но когда я пытаюсь получить доступ к подсети в другом месте 10.0.1.0, который настроен с vpn-site-to-site ничего не достижимо.
Конечно, я могу достичь (ping recources) подсети 10.0.1.0 при входе в мой домен Windows локально.
Что мне не хватает? Кстати, я могу настроить anyconnect для использования dhcp-сервера в моем домене (windows 2008 server dhcp).
2 ответа
Мое первое предположение заключается в том, что вам нужно настроить ASA, чтобы трафик NAT не направлялся в другую подсеть.
access-list NONAT extended permit ip 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0
nat (inside) 0 access-list NONAT
Вам нужно будет отредактировать ACL в соответствии со своими потребностями.
Опять просто догадка.
Недавно я развернул очень похожую установку с парой ASA 5510, и у нас возникла та же проблема при попытке заставить VPN-клиентов на одном ASA взаимодействовать с подсетью, доступной только через туннель IPsec между двумя ASA. По умолчанию не существует правила, разрешающего трафик между этими подсетями между внешним интерфейсом и внутренним интерфейсом, и, поскольку поведение по умолчанию - отбрасывать трафик снаружи внутрь, трафик отбрасывался. Поначалу подумать немного странно, но имейте в виду, что даже если ваши VPN-клиенты находятся в частном адресном пространстве, трафик все еще поступает через внешний интерфейс, и правила должны быть настроены соответствующим образом. Для нас решение было простым: разрешить трафик IPsec из сети VPN-клиентов во внешнюю сеть снаружи внутрь и наоборот. Все сразу начало работать.