%20%D0%B2%20LAN%20%E2%80%94%20%D1%87%D0%B5%D1%80%D0%B5%D0%B7%20%D0%B2%D1%82%D0%BE%D1%80%D0%BE%D0%B9%20VPN%20%D0%B2%D0%BE%20%D0%B2%D1%82%D0%BE%D1%80%D1%83%D1%8E%20LAN.png)
У нас есть 2 сайта, которые связаны с удаленными Cisco ASA через IPSEC VPN:
Сайт 1 1,5 Мбит T1 соединение Cisco(1) 2841
Участок 2 1,5 Мбит T1 соединение Cisco 2841
Кроме того:
На объекте 1 имеется второе WAN-соединение T1 со скоростью 3 Мбит/с Cisco 5510, подключенное к той же локальной сети, что и Cisco(1) 2841.
По сути, пользователям удаленного доступа (VPN), подключающимся через Cisco ASA 5510, нужен доступ к сервису в конце Сайта 2. Это связано со способом продажи сервиса — маршрутизаторы Cisco 2841 не находятся под нашим управлением, и он настроен на разрешение подключения с локальной сети LAN VLAN 1 IP-адрес 10.20.0.0/24. Моя идея заключается в том, чтобы весь трафик от удаленных пользователей через Cisco ASA, предназначенный для Сайта 2, проходил через VPN между Сайтом 1 и Сайтом 2. Конечным результатом является то, что весь трафик, который попадает на Сайт 2, проходит через Сайт 1.
Я пытаюсь найти как можно больше информации о том, как это настроить. Итак, во-первых, может ли кто-нибудь подтвердить, что то, чего я пытаюсь добиться, возможно? Во-вторых, может ли кто-нибудь помочь мне исправить конфигурацию ниже или указать мне на пример такой конфигурации?
Большое спасибо.
interface Ethernet0/0
nameif outside
security-level 0
ip address 7.7.7.19 255.255.255.240
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.20.0.249 255.255.255.0
object-group network group-inside-vpnclient
description All inside networks accessible to vpn clients
network-object 10.20.0.0 255.255.255.0
network-object 10.20.1.0 255.255.255.0
object-group network group-adp-network
description ADP IP Address or network accessible to vpn clients
network-object 207.207.207.173 255.255.255.255
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any source-quench
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq smtp
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq https
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq pop3
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq www
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq www
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq https
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq 5721
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient any
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient object-group group-adp-network
access-list acl-vpnclient extended permit ip object-group group-adp-network object-group group-inside-vpnclient
access-list PinesFLVPNTunnel_splitTunnelAcl standard permit 10.20.0.0 255.255.255.0
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 10.20.1.0 255.255.255.0
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 host 207.207.207.173
access-list inside_nat0_outbound_1 extended permit ip 10.20.1.0 255.255.255.0 host 207.207.207.173
ip local pool VPNPool 10.20.1.100-10.20.1.200 mask 255.255.255.0
route outside 0.0.0.0 0.0.0.0 7.7.7.17 1
route inside 207.207.207.173 255.255.255.255 10.20.0.3 1
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 288000
crypto dynamic-map outside_dyn_map 20 set security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto map outside_dyn_map 20 match address acl-vpnclient
crypto map outside_dyn_map 20 set security-association lifetime seconds 28800
crypto map outside_dyn_map 20 set security-association lifetime kilobytes 4608000
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
group-policy YeahRightflVPNTunnel internal
group-policy YeahRightflVPNTunnel attributes
wins-server value 10.20.0.9
dns-server value 10.20.0.9
vpn-tunnel-protocol IPSec
password-storage disable
pfs disable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl-vpnclient
default-domain value YeahRight.com
group-policy YeahRightFLVPNTunnel internal
group-policy YeahRightFLVPNTunnel attributes
wins-server value 10.20.0.9
dns-server value 10.20.0.9 10.20.0.7
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value YeahRightFLVPNTunnel_splitTunnelAcl
default-domain value yeahright.com
tunnel-group YeahRightFLVPN type remote-access
tunnel-group YeahRightFLVPN general-attributes
address-pool VPNPool
tunnel-group YeahRightFLVPNTunnel type remote-access
tunnel-group YeahRightFLVPNTunnel general-attributes
address-pool VPNPool
authentication-server-group WinRadius
default-group-policy YeahRightFLVPNTunnel
tunnel-group YeahRightFLVPNTunnel ipsec-attributes
pre-shared-key *
решение1
Конечно, вы можете реализовать этот сценарий. Это называется "Hairpinning". Вам необходимо следующее: - настроить POOL пользователей удаленного доступа, чтобы он был частью списка доступа к криптографии, связанного с криптокартой - настроить список доступа NAT-EXEMPT или NO-NAT, чтобы включить пул.
самое главное:
- Настройте эту команду: «same-security-traffic permit intra-interface», чтобы разрешить входящий и исходящий трафик через один и тот же интерфейс в Cisco ASA.
- настройте туннельный узел (маршрутизатор) для включения пула пользователей удаленного доступа в список криптографического доступа, поскольку список криптографического доступа туннеля L2L должен быть зеркалирован в обоих узлах.
- Если пользователи удаленного доступа используют раздельное туннелирование, то вам необходимо убедиться, что подсети за удаленным узлом (маршрутизатором) включены в список доступа раздельного туннелирования.
видеть это:https://supportforums.cisco.com/message/3864922
Надеюсь это поможет.
Машал
решение2
Пожалуйста, добавьте больше информации и схему, это было бы очень полезно для помощи. Мы не знаем ваши IP-адреса Сайта 2. Кажется, что в группе group-inside-vpnclient отсутствует, так как 10.20.0.0/24 находится на Сайте 1, а 10.21.1.0/24 — ваш пул vpn. Вам также нужен маршрут для сетевого IP-адреса Сайта 2 через маршрутизатор Сайта 1. Если 207.207.207.173 — это IP-адрес, к которому вы пытаетесь обратиться на Сайте 2, нам действительно нужно больше разъяснений.