我正在为包含多个子网的大型网络使用 ASA 5510,其中一些子网(无线)的网络访问受到限制。我想允许无线用户能够通过 VPN 接入以获得完全的网络访问,但是内部网络上的任何主机都无法连接到 VPN,甚至无法 ping ASA 外部接口。
我猜想这与我的 NAT 规则有关。有人能给我指明正确的方向吗?
这是运行配置(已清理):http://pastebin.com/snN4AVSA
packet-tracer 从内到外 ping :http://pastebin.com/hX8X8kTr
答案1
由于路由,您将无法从内部网络访问您的 VPN。
答案2
在这里和思科论坛上都没有运气,但我仍然相信这是可能的。哦,不管怎样,我最终为安全的 802.1x 无线创建了一个单独的 VLAN。
答案3
我认为实现目标的最简单方法是将接入点连接到 ASA 外部或某种 DMZ 中。这样,您就不会尝试做与常规有太大不同的事情 - 例如,为安全网络之外的客户端提供 VPN 访问权限,同时将不受信任的客户端拒之门外。