Cisco ASA5505 VPN 远程访问用户无法连接到其他站点到站点子网

Cisco ASA5505 VPN 远程访问用户无法连接到其他站点到站点子网

我正在使用 L2TP VPN 从家里连接到总部的 ASA5505。

然后,总部通过站点到站点的 IPSEC 隧道连接到其他办公室。

当在总部(192.168.100.0/24)时,我可以 ping/访问远程办公室(192.168.200.0/24)。

当远程连接到总部时,我可以从旅途中的笔记本电脑 ping/访问总部。

我的问题是,当从家里远程连接到总部时,我无法 ping/访问其他办公室子网

在家用笔记本电脑上,L2TP VPN 连接设置为使用 HQ 作为互联网网关将所有流量路由到 VPN 连接,我可以确认这有效。

我无法执行跟踪路由(超时),因为我的策略不允许,并且不确定如何在 ASA 上正确启用此功能。

任何想法哪里错了,配置如下:

names
name 192.168.200.0 othersite
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.100.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 34.35.36.3 255.255.255.252
!
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0
access-list inside_nat0_outbound extended permit ip any 192.168.100.0 255.255.255.0
access-list outside_1_cryptomap extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0
access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.100.0 255.255.255.0
access-list outside_in_acl extended permit icmp any any echo-reply
access-list outside_in_acl extended permit tcp any interface outside eq smtp
ip local pool VPNLAN 192.168.100.210-192.168.100.240 mask 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 192.168.100.0 255.255.255.0
nat (outside) 1 192.168.100.0 255.255.255.0
static (inside,outside) tcp interface smtp 192.168.100.3 smtp netmask 255.255.255.255
access-group outside_in_acl in interface outside
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
 dns-server value 192.168.100.3
 vpn-tunnel-protocol l2tp-ipsec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl_1
tunnel-group DefaultRAGroup general-attributes
 address-pool VPNLAN
 default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
 no authentication chap
 authentication ms-chap-v2
tunnel-group 40.35.36.122 type ipsec-l2l
tunnel-group 40.35.36.122 ipsec-attributes
 pre-shared-key *****

答案1

您的拆分隧道 ACL 应该包含其他站点的 IP 地址,因为该流量应该由客户端通过 VPN 发送。

access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.200.0 255.255.255.0

除此之外,配置看起来不错。如果这没有帮助,则打开 ASA 上的日志记录,看看当您尝试发送流量时会出现什么情况。

相关内容