我们有一台 Cisco ASA 5510。我们对 AnyConnect SSL VPN 客户端使用拆分隧道。所有内部地址都经过隧道传输。其他所有地址都通过客户端自己的互联网连接路由。
我们使用的 SaaS 服务仅响应来自我们自己的公共 IP 地址之一的请求。因此,VPN 用户目前无法访问它。有没有办法指定特定网站应通过隧道传输,而其他网站则不应通过隧道传输?
注意:最坏的情况是我们将在无客户端门户上使用网络书签来通过我们的网络进行翻译,但我想先看看上述是否可行。
答案1
您必须将该特定网站的 IP 或子网添加到您的分割隧道列表中。如果您询问是否可以将 URL 添加到分割隧道列表中,那么答案很遗憾,不行。
答案2
作为对以下问题的回答:“我也是这么想的。但是,我尝试添加网站的 IP 地址,但没有成功。我是否还需要访问规则才能使其工作?”
默认情况下,正常的 ACL 被绕过。
确保您有“允许内部接口”,然后仔细检查客户端上的路由并重试。