.png)
我已经在我们的 ASA5510(8.0.(3))上设置了 VPN,一切似乎都运行良好,只是我无法远程访问我们的卫星办公室或 10.76.xx 网络上的任何路由器/交换机……似乎是一个路由问题或未配置 ACL 以允许 VPN DHCP 组与 10.76 网络通信,但我到目前为止还没有看到它。
VPN DHCP 范围是 10.74.10.0/24 – 使用 VPN 时,我可以成功 ping 我们的内部网络 (10.74.4.0/23) 并访问网络上所需的所有内容,但如果我尝试 ping 10.76.xx(10.76.0.x 或我们的交换机/路由器/等,10.76.1.0/26 用于我们的卫星办公室)或远程 ping 它们,我无法通过。它似乎根本看不到 10.76.xx 网络……
我在 ASA 外部有一个豁免声明,10.74.10.0/24 到 10.74.0.0/16 入站,还有一个与它类似的 10.76.0.0/16。我还有一个反向的内部豁免声明,内部是 10.74.0.0/16 到 10.74.10.0/24,还有一个与它类似的 10.76.0.0/16。
在防火墙上,我有一个从 10.74.0.0/16 到 10.74.10.0/24 的内部 ACL,允许 IP,似乎正在工作,我看到命中数在增加。我有一个与 10.76.0.0/16 类似的语句,但我从未看到它被引用,命中数为 0。
在防火墙上,我有一个外部 ACL,从外部说 10.74.10.0/24 到 10.74.0.0/16 允许 IP,可以工作,而且我看到命中数在上升,但是对于 10.76.0.0/16 有一个类似的语句,与上面相同,没有命中。
我已将默认隧道路由设置为我们的内部接口。
我目前可能允许了太多,或者至少有一两行是不必要的,但如果我可以让它工作,那么我可以将其调低以收紧它......我也尝试查看日志。我已经登录到 kiwi syslog,在尝试从连接到 VPN 的笔记本电脑 ping 10.76.xx 时对其进行监控。我从未看到拒绝它,甚至在搜索时也没有在日志的任何地方看到 10.76 地址。我看到了笔记本电脑的 IP,它正在与我们的域控制器通信,在那里进行初始化等,但没有任何东西引用 10.76 网络。我希望在某处看到关于它被停止的条目......但这让我认为它甚至没有到达那个地步。
我确信像往常一样,这是我忽略的小事,但也许需要一双全新的眼睛(或多双全新的眼睛!)来看待它。我很感激你的帮助,谢谢!
答案1
您将需要配置到远程站点的 VPN,以将流量传输到您的移动 VPN 范围,并且移动 VPN 也需要传输远程站点范围:(10.74.10.0/24 <==> 10.76.0.0/16)在 laptop-cisco 和 cisco-remote-sites 上。
如果您的笔记本电脑-思科 VPN 上没有该功能,那么远程站点的流量将永远不会到达思科(在 Windows 上,使用命令行中的“route print”来查找),如果您的思科远程站点 VPN 上没有该功能,那么流量将在思科处停止,并且远程站点将不知道如何将流量发送到您的笔记本电脑,因为他们的隧道策略不知道 10.74.10.0/24 在哪里。
如果另一台设备通过 VPN 连接到远程站点,则可能是一个简单的路由问题 - 所有设备都需要双向路由网络,不仅仅是到远程站点,还要返回。不过这听起来更可能是隧道策略的问题。