我希望内部用户能够连接到 ASA 的外部接口 https 服务器,以便在办公室下载 AnyConnect 客户端。目前,此功能无法使用。
我设置了一个静态 NAT 条目,其中源为内部,目的地为 outside/tcp/https。我们在内部接口上有一个允许任何 ACL。在外部接口 ACL 上,我为内部流量到外部接口 https 添加了 ACE。
从我的工作站运行 Wireshark,当尝试连接到 https 服务器时,我看到来自 ASA 的 RST、ACK。
答案1
为什么不让 HTTPS 服务也在内部接口上监听,然后让它们连接到该地址呢?
http 10.0.0.0 255.0.0.0 inside
如果由于某种原因您确实需要让它们继续尝试连接到外部接口,那么将其配置为允许跨接口输入可能会起作用:
management-access outside
答案2
(不完全是您想要的……)
我为客人提供“公共” wifi 网络。(通过廉价的 dsl 或有线线路)
这为访问者提供了一个完全隔离的环境,并且可以用来测试和验证 VPN 连接等。
做类似的事情可能会对你有帮助。
或者,网络共享电话或 mifi 设备也可以提供帮助。