我问过类似的问题,但没有得到任何答案,所以我将尝试重新措辞。
我有 4 个公司地点和 3 个远程地点
当您在公司所在地时,您可以完全访问所有网络。192.168.3.x 192.168.2.x 192.168.1.x 192.168.0.x
所有位置都通过站点到站点 VPN 与公司位置相连。如果您位于远程位置,则可以访问该位置和公司位置。
公司位置处理所有 VPN 流量。
然而,当你通过 VPN 进入公司所在地时,你无法看到公司所在地以外的情况。
有人可以提供一些信息或链接来解释如何允许 VPN 用户查看所有位置吗?
谢谢
静态路由配置:
最后选用的网关是 207.255.x.1,网络为 0.0.0.0
C 207.255.x.0 255.255.255.0 直接连接,外部
S 10.0.1.6 255.255.255.255 [1/0] 通过 207.255.x.1,外部
S 10.0.1.5 255.255.255.255 [1/0] 通过 207.255.x.1,外部
S 192.168.0.0 255.255.255.0 [1/0] 通过 192.168.0.1,内部
C 192.168.1.0 255.255.255.0 直接连接,内部
S 192.168.2.0 255.255.255.0 [1/0] 通过 192.168.2.1,内部
S 192.168.3.0 255.255.255.0 [1/0] 通过 192.168.3.1,内部
S* 0.0.0.0 0.0.0.0 [1/0] 经由 207.255.x.1,外部
[1/0] via 192.168.1.1, outside
答案1
如果您将 VPN 用户与您的办公室放在同一个网络中,则您需要在 VPN 客户端设置中明确向其他位置添加静态路由,除非您也将 VPN 用作默认网关。
不过,我首选的解决方案是为 VPN 远程用户创建一个新的网络,这样您可以更好地了解他们是谁以及他们做什么,从那里您可以选择在客户端上配置静态路由或仅激活 VPN 作为用户的默认网关。
我不喜欢将 VPN 作为远程用户流量的默认网关,因此我建议在配置中添加静态路由。
答案2
这里有几个建议。您可能希望在远程站点之间设置隧道,而不是通过主站点进行路由,以节省带宽等。ASA 站点到站点 VPN 相当有限,并且路由故障排除相当棘手等,更好的设置是使用 DMVPN 和路由协议(例如 EIGRP 或 OSPF)。DMVPN 可以进行下一跳解析,即辐条自动在它们之间设置隧道,而不是通过集线器路由所有内容。
如果您仍然希望通过中心站点启用远程站点之间的访问,您应该查看以下命令:
相同安全流量允许接口内
这允许 ASA 将流量路由到其进入的同一接口上。