这是 ASA 8.4 远程访问 VPN 的正确配置吗?

这是 ASA 8.4 远程访问 VPN 的正确配置吗?

第一次为 8.3 / 8.4 配置远程访问 VPN,因此 NAT 和 VPN 命令对我来说有点不同。

下面是 VPN 配置和对应的 NAT 到 NO NAT 的 IP 空间。如果有人能看一下并告诉我是否有遗漏。网络是 192.0.0.0 / 24 ha,没有拼写错误。


crypto ikev1 enable outside

crypto ikev1 policy 10
encryption 3des
authentication pre-share
hash sha

access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
access-list SPLIT-TUNNEL-VPN standard permit 192.0.0.0 255.255.255.0

group-policy REMOTE-VPN-GP internal
group-policy REMOTE-VPN-GP attributes
vpn-tunnel-protocol ikev1
address-pools value REMOTE-VPN-POOL
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-TUNNEL-VPN
dns-server value 192.0.0.201

tunnel-group REMOTE-VPN-TG type remote-access
tunnel-group REMOTE-VPN-TG general-attributes
default-group-policy REMOTE-VPN-GP
authentication-server-group LOCAL

tunnel-group REMOTE-VPN-TG ipsec-attributes
ikev1 pre-shared-key **********

ip local pool REMOTE-VPN-POOL 192.0.1.1-192.0.1.100 mask 255.255.255.0

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map OUTSIDE-DYNMAP 65535 set ikev1 transform-set ESP-3DES-SHA

crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic OUTSIDE-DYNMAP
crypto map OUTSIDE_MAP interface outside

//无NAT子网

object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0

object network VPN_LAN
subnet 192.0.1.0 255.255.255.0

nat (inside,outside) source static INSIDE_LAN INSIDE_LAN  destination static VPN_LAN VPN_LAN

或者我会为无 nat 执行此操作:

nat (inside,outside) 1 source static any any destination static VPN_LAN VPN_LAN

我的 NAT 当前设置为:

object network LAN_NAT
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface

答案1

如果192.0.0.0/24里面那么接口/LAN是什么192.0.1.0/24

您已将对象名称指定VPN_LAN192.0.1.0/24子网?但是,您将远程访问 VPN 地址池定义为10.1.2.140-10.1.2.145。分配给客户端 VPN 适配器的地址将在 范围内10.1.2.140-10.1.2.145

我认为这192.0.1.0/24是没有必要的,你的里面192.0.0.0/24,您的 VPN 客户端适配器将从池中提取 IP 10.1.2.140-10.1.2.145—— 您可能只想将其设为 10.1.2.0/24 —— 但是我将继续使用您现有的池。

您可以配置您的里面出站动态接口 PAT 设置如下。LAN_NAT当您可以在对象中直接定义动态接口 PAT 时,您已经创建了另一个对象INSIDE_LAN——它们出现在配置的两个不同部分(子网定义和对象 NAT),但仍在(并且可以)在同一个对象中定义。

object network INSIDE_LAN
 subnet 192.0.0.0 255.255.255.0
 nat (inside,outside) dynamic interface

下面是创建的代表 IP 块的网络对象,即池。不会将池本身重新定义为ip local pool

object network RAVPN_POOL
 subnet 10.1.2.0 255.255.255.0   ! adjust this and pool itself to meet needs

按如下方式配置您的身份 NAT(无 nat)——不是在对象中,而是两次 NAT。

nat (inside,outside) source INSIDE_LAN INSIDE_LAN destination static RAVPN_POOL RAVPN_POOL description [[ Inside to RA Identity NAT ]]

假设我理解您的设置,那么您可以摆脱LAN_NATVPN_LAN对象以及ACL192.0.1.0/24中的条目SPLIT-TUNNEL-VPN

no access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
no object network LAN_NAT
no object network VPN_LAN

在您的 P1/IKE 策略中还有一些其他事项需要考虑——当您将 P2 定义为 3DES/SHA 时,P1 中的 3DES/MD5 是可以的,但有点奇怪。

相关内容