ASA 5505 сайт на сайт VPN

Чи може ASA 5505 робити сайт на сайт VPN і як і раніше клієнт підключений через IPSec VPN (будь-які клієнти з'єднання) одночасно? У мене виникають проблеми з клієнтами, які не можуть отримати доступ до локальної мережі та втрачають Інтернет на своїх комп'ютерах, коли вони підключені до IPSec VPN. Це може бути проблемою брандмауера, в якій я не маю великого досвіду, але я згадав сайт на сайті, оскільки ця проблема виникла після того, як ми створили VPN-сайт для підключення до сайту з нашим іншим місцем (за допомогою D-Link DSR-250 на інший сайт, якщо це важливо)

Дякую за допомогу

4
Так, він може робити з'єднання з сайтом на сайт і клієнт (навіть декілька груп клієнтів). Я це робив десятки років. Вам дійсно потрібно знати, що ви робите для налаштування будь-якого рівня VPN на пристрої cisco.
додано Автор Neall, джерело
Чи допомогла вам будь-яка відповідь? Якщо це так, ви повинні прийняти відповідь, щоб питання не виникало вічно, шукаючи відповідь. Крім того, ви можете надати і прийняти власну відповідь.
додано Автор Ron Maupin, джерело
Чи можете ви опублікувати конфігурацію та схему? Я ставку це адресація/NAT питання, але без додаткової інформації, це просто здогадатися.
додано Автор Ron Trunk, джерело
Які мережеві блоки ви використовуєте з обох сторін VPN? Чи існує взаємозв'язок між цими двома мережами?
додано Автор stevieb, джерело
Увімкнути роздільне тунелювання для доступу до локальних ресурсів, Інтернет.
додано Автор James, джерело

3 Відповіді

При виконанні віртуальної мережі Site-to-Site з роздільним тунелюванням необхідно настроїти наступне:

  1. Create a tunnel group on the ASA using the public peer address of your remote site, assign charictaristics to the tunnel group (i.c L2L), then assign a PSK PSKs must match on both sides of tunnel*

    Tunnel-group X.X.X.X type ipsec-l2l
    Tunnel-group X.X.X.X ipsec-attributes
    Ikev1 Pre-shared key THISISTHEKEY
    
  2. Create a transform set

    crypto ipsec ikev1 tranform-set (what ever your crypto/hashing/ encryp)
    
  3. Create an ACL identifing traffic to go through the Tunnel also prevents from being NAT'd by ASA

    access-list (Name) Permit ip 10.10.10.0 255.255.255.0 10.10.20.0 255.255.255.0
    
  4. Then create a tunnel:

    crypto map (name) 1 match address (The ACL you just created)
    crypto map (Same name as above) 1 set peer (remote peer public IP)
    crypto map (Same name as above) 1 set ikev1 transform-set (what ever you created)
    
  5. Apply to interface

    crypto map (name) interface outside
    

Тоді ви можете динамічно ПАТ (будь-який, назовні)

1
додано

Як згадувалося, потрібно розділити тунелювання, щоб тунель всі мережі, але локальна мережа використовувати наступне;

створити стандартний acl:

access-list Local-NET standard permit host 0.0.0.0
!
!

за допомогою вашої групової політики:

split-tunnel-policy excludespecified
split-tunnel-network-list value Local-NET
0
додано

Так, ви можете зробити обидва одночасно. Перевірте ліцензування, оскільки вам може знадобитися ліцензія безпеки плюс на певну кількість одночасних з'єднань, але для однієї S2S VPN та кількох клієнтських з'єднань ви повинні бути в порядку.

Одне, що ви хочете шукати - розкол тунелювання. Якщо ви хочете, щоб ваші клієнти використовували місцеве підключення до Інтернету під час підключення до VPN, необхідно розблокувати тунелювання. Я не можу згадати точну команду у верхній частині моєї голови, але Google cisco asa split tunnel.

За винятком цих речей, те, що також викликає проблеми, не налаштовується належним чином, як це було раніше згадано раніше.

Ви можете скористатись командою tracer tracer у меню елемента керування CLI або tracer tracer, щоб визначити, чи дозволяється трафік увійти чи виходити, якщо він проходить через VPN і отримує NAT, як ви хочете (або не бажаєте) його до

0
додано