我们有一台 asa5505,我正在尝试创建一个 IPsec VPN 连接,以便我们的用户在外出时能够连接到网络。
他们将使用 Windows 7 中包含的 vpn 连接软件进行连接。
你们是否建议让他们通过 vpn 连接到 asa5505(从而获得网络访问权限)或者我是否应该创建 NAT 规则将所有流量转发到 VPN 服务器(服务器 2008 R2)并让其处理?
尝试确保我通过 VPN 连接到 ASA 的路线正确。
谢谢!
答案1
尽可能避免使用 NAT 的 IPsec。IPsec 不支持 NAT,只能通过已开发的变通方法和 hack 才能工作。
如果您有绿地,请放弃基于 SSL/TLS 的 Cisco AnyConnect VPN 客户端的 IPsec 远程访问 VPN。
ASA5505 配备 2 个 AnyConnect Premium 许可证,但可以升级到 AnyConnect Essentials 许可证,费用不到 100 美元,这将为您提供 5505 平台 VPN 最多 25 个 AnyConnect Essentials 远程客户端。
AnyConnect 的 SSL/TLS 对防火墙更加友好,可以在咖啡店、机场和其他严重 NAT 热点可靠地工作。我认为 AnyConnect 客户端更简单、更干净,并且更易于最终用户使用。
然而,如果您必须坚持使用 IPsec,我的建议是保留 ASA 作为端点。
答案2
据我所知,ASA 不支持来自原生 Windows VPN 软件的连接。它需要在用户桌面上安装 Cisco VPN 软件。如果您希望用户使用原生 Windows VPN 软件,我建议使用 Windows 服务器作为 VPN 端点。