我们有一台 ASA 5505 为远程用户提供 IPSec VPN。客户端访问几乎按预期工作:客户端可以访问内部 LAN 上的主机,甚至可以使用 DNS,并且我们正在通过 ASA 隧道传输所有客户端流量,因此用户看起来像是从办公室进入外部世界。
不起作用的是内部 LAN 服务的发现,例如共享文件夹和 OS X 屏幕共享(我们假设,通过 Bonjour/多播 DNS)。当用户在办公室时,这些服务可以工作,但看起来广告/发现不会穿越 VPN。
具体来说,这个问题是为了满足 OS X 用户的需求,但我们注意到 Windows 客户端也存在同样的问题 - 例如工作组成员发现似乎不起作用。
我们已经在 ASA 中启用了多播路由,但似乎没有效果。
要使服务发现工作起来就像 VPN 用户直接插入 LAN 一样,需要什么?在 IPSec 模式下,ASA 5505 是否能做到这一点?
答案1
你实际上是在问这个问题:VPN 和 NetBIOS
您正在尝试通过第 3 层设备(路由器/IPSec VPN 端点)获取第 2 层(交换机/桥接)功能。这需要大量的工作/努力才能实现……足够的努力可以降低以其他方式(例如 DNS)解决问题的成本。
理论上有二层VPN技术,但我不太了解。