%EC%97%90%EC%84%9C%20LAN%EC%9C%BC%EB%A1%9C%20-%20%EB%91%90%20%EB%B2%88%EC%A7%B8%20VPN%EC%9D%84%20%ED%86%B5%ED%95%B4%20%EB%91%90%20%EB%B2%88%EC%A7%B8%20LAN%EC%9C%BC%EB%A1%9C.png)
IPSEC VPN을 통해 원격 Cisco ASA에 연결된 사이트가 2개 있습니다.
사이트 1 1.5Mb T1 연결 Cisco(1) 2841
사이트 2 1.5Mb T1 연결 Cisco 2841
게다가:
사이트 1에는 Cisco(1) 2841과 동일한 LAN에 연결되는 두 번째 WAN 3Mb 결합 T1 연결 Cisco 5510이 있습니다.
기본적으로 Cisco ASA 5510을 통해 연결하는 원격 액세스(VPN) 사용자는 사이트 2의 끝에서 서비스에 액세스해야 합니다. 이는 서비스 판매 방식 때문입니다. Cisco 2841 라우터는 당사에서 관리하지 않으며 허용하도록 설정되어 있습니다. 로컬 LAN에서 연결 VLAN 1 IP 주소 10.20.0.0/24. 내 생각은 Cisco ASA를 통해 사이트 2로 향하는 원격 사용자의 모든 트래픽이 사이트 1과 사이트 2 사이의 VPN을 통해 이동하도록 하는 것입니다. 최종 결과는 사이트 2에 도달하는 모든 트래픽이 사이트 1을 통해 온 것입니다.
이것이 어떻게 설정되는지에 대한 많은 정보를 찾는 데 어려움을 겪고 있습니다. 그렇다면 첫째, 내가 달성하려는 것이 가능하다는 것을 누가 확인할 수 있습니까? 둘째, 누구든지 아래 구성을 수정하도록 도와주거나 그러한 구성 예의 방향을 알려줄 수 있습니까?
정말 감사합니다.
interface Ethernet0/0
nameif outside
security-level 0
ip address 7.7.7.19 255.255.255.240
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.20.0.249 255.255.255.0
object-group network group-inside-vpnclient
description All inside networks accessible to vpn clients
network-object 10.20.0.0 255.255.255.0
network-object 10.20.1.0 255.255.255.0
object-group network group-adp-network
description ADP IP Address or network accessible to vpn clients
network-object 207.207.207.173 255.255.255.255
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any source-quench
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq smtp
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq https
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq pop3
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq www
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq www
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq https
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq 5721
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient any
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient object-group group-adp-network
access-list acl-vpnclient extended permit ip object-group group-adp-network object-group group-inside-vpnclient
access-list PinesFLVPNTunnel_splitTunnelAcl standard permit 10.20.0.0 255.255.255.0
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 10.20.1.0 255.255.255.0
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 host 207.207.207.173
access-list inside_nat0_outbound_1 extended permit ip 10.20.1.0 255.255.255.0 host 207.207.207.173
ip local pool VPNPool 10.20.1.100-10.20.1.200 mask 255.255.255.0
route outside 0.0.0.0 0.0.0.0 7.7.7.17 1
route inside 207.207.207.173 255.255.255.255 10.20.0.3 1
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 288000
crypto dynamic-map outside_dyn_map 20 set security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto map outside_dyn_map 20 match address acl-vpnclient
crypto map outside_dyn_map 20 set security-association lifetime seconds 28800
crypto map outside_dyn_map 20 set security-association lifetime kilobytes 4608000
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
group-policy YeahRightflVPNTunnel internal
group-policy YeahRightflVPNTunnel attributes
wins-server value 10.20.0.9
dns-server value 10.20.0.9
vpn-tunnel-protocol IPSec
password-storage disable
pfs disable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl-vpnclient
default-domain value YeahRight.com
group-policy YeahRightFLVPNTunnel internal
group-policy YeahRightFLVPNTunnel attributes
wins-server value 10.20.0.9
dns-server value 10.20.0.9 10.20.0.7
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value YeahRightFLVPNTunnel_splitTunnelAcl
default-domain value yeahright.com
tunnel-group YeahRightFLVPN type remote-access
tunnel-group YeahRightFLVPN general-attributes
address-pool VPNPool
tunnel-group YeahRightFLVPNTunnel type remote-access
tunnel-group YeahRightFLVPNTunnel general-attributes
address-pool VPNPool
authentication-server-group WinRadius
default-group-policy YeahRightFLVPNTunnel
tunnel-group YeahRightFLVPNTunnel ipsec-attributes
pre-shared-key *
답변1
확실히 이 시나리오를 달성할 수 있습니다. '헤어핀'이라고 합니다. 다음이 필요합니다. - 원격 액세스 사용자 POOL을 암호화 맵과 연결된 암호화 액세스 목록의 일부로 구성합니다. - 풀을 포함하도록 NAT-EXEMPT 또는 NO-NAT 액세스 목록을 구성합니다.
가장 중요한 것은:
- 트래픽이 Cisco ASA에서 동일한 인터페이스로 들어오고 나가는 것을 허용하려면 "same-security-traffic allowed intra-interface" 명령을 구성하십시오.
- L2L 터널 암호화 액세스 목록은 두 피어 모두에서 미러링되어야 하므로 암호화 액세스 목록에 원격 액세스 사용자 풀을 포함하도록 터널 피어(라우터)를 구성합니다.
- 원격 액세스 사용자가 분할 터널링을 사용하는 경우 원격 피어(라우터) 뒤의 서브넷이 분할 터널 액세스 목록에 포함되어 있는지 확인해야 합니다.
이것 좀 봐:https://supportforums.cisco.com/message/3864922
도움이 되었기를 바랍니다.
마샬
답변2
더 많은 정보와 스키마를 추가해 주시면 도움이 될 것입니다. 우리는 귀하의 사이트 2 IP를 모릅니다. 10.20.0.0/24가 사이트 1에 있고 10.21.1.0/24가 VPN 풀이므로 group-inside-vpnclient 그룹에 누락된 것 같습니다. 사이트 1 라우터를 통해 사이트 2 네트워크 IP에 대한 경로도 필요합니다. 207.207.207.173이 사이트 2에서 연결하려는 IP라면 더 많은 설명이 필요합니다.