我遇到的情况是两个位置通过站点到站点 VPN 连接。站点 A 有一个 Web 过滤设备。我想通过 VPN 隧道路由来自站点 B 的所有流量,并将其路由出站点 A 的互联网连接(和 Web 过滤器)。使用的防火墙设备是 Cisco ASA 5505。站点到站点 VPN 已建立。
为了实现上述目标我需要修改什么?
答案1
更改控制隧道策略的 ACL 以允许流量:
地点A:
access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts
no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts
站点 B:
access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any
no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts
通过该隧道的流量将进入外部接口,进行解密,然后直接返回外部接口(我希望这对您的网络过滤器有用!),因此您也需要考虑到这一点:
(配置免责声明:这是 8.2 配置,请相应调整)
same-security-traffic permit intra-interface
nat (outside) 1 10.X.X.0 255.255.255.0
有了这个,所有流量都会遵循加密策略,并且隧道将使用 0.0.0.0/0 的本地/远程网络建立。
testasa# show crypto ipsec sa
interface: outside
Crypto map tag: outside_map, seq num: 100, local addr: X.X.X.X
access-list outside_cryptomap_A permit ip any object-group site_b_hosts
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.X.X.0/255.255.255.0/0/0)
current_peer: test-endpoint-public
#pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719
#pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626
答案2
假设站点 A 的代理服务器是 pppp,站点 b 的本地子网是 bbb0/24
您需要在站点 A 配置本地加密域以包含您的代理服务器,并在站点 B 配置远程加密域以包含您的代理服务器。您可能还需要更改防火墙访问列表以允许流量通过,具体取决于您的配置。
因此在 A ASA 网站上
access-list site-A-site-B_vpn permit ip host p.p.p.p b.b.b.0 255.255.255.0
access-list outside_access_in permit ip b.b.b.0 255.255.255.0 host p.p.p.p
以及 B ASA 网站上
access-list site-B-site-A_vpn permit ip b.b.b.0 255.255.255.0 host p.p.p.p
access-list inside_access_in permit ip b.b.b.0 255.255.255.0 host p.p.p.p
如果您没有使用明确定义的代理,那么您将会遇到一些困难,因为您必须通过您的 vpn 有效地隧道化 0.0.0.0/0,而 IPSEC 上的 GRE 可能是一个更好的选择……