我想知道一些人给我发的 asa5510-setup 有什么问题。asa-box 上为 anyconnect 设置的地址池是 192.168.3.0。
当我通过 anyconnect 登录时,我可以访问我的子网上的所有 IP 地址,即 192.168.2.0,但是当我尝试访问另一个位置 10.0.1.0 上的子网(使用 vpn-site-to-site 设置)时,无法访问任何内容。
当我本地登录我的 Windows 域时,我当然可以访问(ping 资源)10.0.1.0 子网。
我遗漏了什么?顺便问一下,我可以将 anyconnect 设置为在我的域中使用 dhcp-server 吗(Windows 2008 服务器 dhcp)。
答案1
我最近部署了一套非常相似的设置,使用一对 ASA 5510,我们在尝试让一个 ASA 上的 VPN 客户端与只能通过两个 ASA 之间的 IPsec 隧道访问的子网通信时遇到了同样的问题。默认情况下,没有规则允许外部接口和内部接口之间的子网之间的流量,并且由于默认行为是丢弃从外部到内部的流量,因此流量被丢弃。一开始想起来有点奇怪,但请记住,即使您的 VPN 客户端位于私有地址空间,流量仍然会通过外部接口进入,因此需要相应地设置规则。对我们来说,解决方案很简单,允许从 VPN 客户端网络到外部网络的 IPsec 流量从外部到内部,反之亦然。一切都立即开始正常工作。
答案2
我的第一个猜测是,你需要设置 ASA,以便不对流向其他子网的流量进行 NAT
access-list NONAT extended permit ip 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0
nat (inside) 0 access-list NONAT
您需要编辑 ACL 来满足您的需要。
再次强调,这只是猜测。