第一次为 8.3 / 8.4 配置远程访问 VPN,因此 NAT 和 VPN 命令对我来说有点不同。
下面是 VPN 配置和对应的 NAT 到 NO NAT 的 IP 空间。如果有人能看一下并告诉我是否有遗漏。网络是 192.0.0.0 / 24 ha,没有拼写错误。
crypto ikev1 enable outside
crypto ikev1 policy 10
encryption 3des
authentication pre-share
hash sha
access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
access-list SPLIT-TUNNEL-VPN standard permit 192.0.0.0 255.255.255.0
group-policy REMOTE-VPN-GP internal
group-policy REMOTE-VPN-GP attributes
vpn-tunnel-protocol ikev1
address-pools value REMOTE-VPN-POOL
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-TUNNEL-VPN
dns-server value 192.0.0.201
tunnel-group REMOTE-VPN-TG type remote-access
tunnel-group REMOTE-VPN-TG general-attributes
default-group-policy REMOTE-VPN-GP
authentication-server-group LOCAL
tunnel-group REMOTE-VPN-TG ipsec-attributes
ikev1 pre-shared-key **********
ip local pool REMOTE-VPN-POOL 192.0.1.1-192.0.1.100 mask 255.255.255.0
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map OUTSIDE-DYNMAP 65535 set ikev1 transform-set ESP-3DES-SHA
crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic OUTSIDE-DYNMAP
crypto map OUTSIDE_MAP interface outside
//无NAT子网
object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0
object network VPN_LAN
subnet 192.0.1.0 255.255.255.0
nat (inside,outside) source static INSIDE_LAN INSIDE_LAN destination static VPN_LAN VPN_LAN
或者我会为无 nat 执行此操作:
nat (inside,outside) 1 source static any any destination static VPN_LAN VPN_LAN
我的 NAT 当前设置为:
object network LAN_NAT
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface
答案1
如果192.0.0.0/24
你里面那么接口/LAN是什么192.0.1.0/24
?
您已将对象名称指定VPN_LAN
给192.0.1.0/24
子网?但是,您将远程访问 VPN 地址池定义为10.1.2.140-10.1.2.145
。分配给客户端 VPN 适配器的地址将在 范围内10.1.2.140-10.1.2.145
。
我认为这192.0.1.0/24
是没有必要的,你的里面是192.0.0.0/24
,您的 VPN 客户端适配器将从池中提取 IP 10.1.2.140-10.1.2.145
—— 您可能只想将其设为 10.1.2.0/24 —— 但是我将继续使用您现有的池。
您可以配置您的里面出站动态接口 PAT 设置如下。LAN_NAT
当您可以在对象中直接定义动态接口 PAT 时,您已经创建了另一个对象INSIDE_LAN
——它们出现在配置的两个不同部分(子网定义和对象 NAT),但仍在(并且可以)在同一个对象中定义。
object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface
下面是创建的代表 IP 块的网络对象,即池。不会将池本身重新定义为ip local pool
。
object network RAVPN_POOL
subnet 10.1.2.0 255.255.255.0 ! adjust this and pool itself to meet needs
按如下方式配置您的身份 NAT(无 nat)——不是在对象中,而是两次 NAT。
nat (inside,outside) source INSIDE_LAN INSIDE_LAN destination static RAVPN_POOL RAVPN_POOL description [[ Inside to RA Identity NAT ]]
假设我理解您的设置,那么您可以摆脱LAN_NAT
和VPN_LAN
对象以及ACL192.0.1.0/24
中的条目SPLIT-TUNNEL-VPN
。
no access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
no object network LAN_NAT
no object network VPN_LAN
在您的 P1/IKE 策略中还有一些其他事项需要考虑——当您将 P2 定义为 3DES/SHA 时,P1 中的 3DES/MD5 是可以的,但有点奇怪。