是否可以设置远程访问 VPN 来验证位于同一 ASA 上的站点到站点 VPN 另一端的 RADIUS 服务器?
我有一台 ASA 5505,位于分支机构,并通过站点到站点 VPN 连接到总部(使用 5510),然后我想在 5505 上为该站点的家庭用户设置远程访问 VPN,该家庭用户将向位于总部 LAN 上的 RADIUS 服务器进行身份验证。
这可能吗?这将相当于我在当前站点上的只读域控制器上设置另一个 RADIUS 服务器。
答案1
Radius 服务器 IP 需要包含在 ASA1 站点到站点隧道中以及其他 ASA,其中 ASA1 外部接口将是加密 acl 中的源 IP,而 Radius 服务器 IP 将是目标。
ASA1<---------------------->ASA2
ASA1:
Crypto acl- ASA_outside_IP to Radius_Server_IP
Nat- nat(out,out) source static ASA_OUtside_IP ASA_OUtside_IP destination static Radius_Server_IP Radius_Server_IP no-proxy-arp
route-lookup
same-security-permit intra-interface
ASA2:
Crypto acl- Radius_Server_IP to ASA1_outside_IP
Nat- nat(inside,out) source static Radius_Server_IP Radius_Server_IPdestination
static ASA_OUtside_IP ASA_OUtside_IP no-proxy-arp route-lookup