已通过 VPN 客户端成功连接到我的 ASA。
设置:ASA >> 交换机 >> 2 个 CentOS Linux 服务器
当我打开本地终端(OSX)时,我可以 ping 通(192.168.0.1)上的内部接口,但不能 ping 通在 192.168.0.2~254 上监听的服务器内部
内部服务器可以互相 ping 通,也可以 ping 192.168.0.1
似乎对服务器内部 IP 的 VPN ping 请求正在通过 Linux 机器的公共接口发送回(网关设置在公共接口上,而不是私有接口上)
我绝对不是一个专业的系统管理员,我试图在服务器私有接口上设置网关,并执行了“服务网络重启”——没有成功,看起来 Linux 不喜欢多个网关?
无论如何,最好通过 VPN 连接并访问内部网络;然后我可以阻止除 Web 服务之外的所有流量,并且只阻止通过 VPN 的 SSH。
一定有办法做到这一点,欢迎提出想法
答案1
我的理解是,Linux 机器有两个 NIC:一个连接到 Internet 并使用公共 IP 地址,另一个连接到带有 ASA 的 LAN?
假设情况确实如此,听起来您只需要在所有 Linux 机器上设置静态路由,将来自 VPN 子网的流量路由回 ASA,而不是路由到默认网关。根据您的 Linux 发行版,添加静态路由并使其在启动过程中持久的方法会有所不同,但您可以通过“手动”添加路由并查看其工作原理来相当轻松地对其进行测试。例如,route add -net a.a.a.a netmask b.b.b.b gw c.c.c.caaaa 是 VPN 子网的网络 ID,bbbb 是 VPN 子网的子网掩码,cccc 是 ASA 的地址。假设 ASA 与 Linux 机器上的一个 NIC 位于同一子网中,则 Linux 机器会在连接到 ASA 子网的 NIC 上发送对 VPN IP 地址的响应。