我们从之前的公司继承了运行 IOS 8.2(3) 的 ASA 5520 的管理,现在我们正在将连接从直接连接到 ASA 接口之一的 LAN 链路切换到 VPN。
我们对IOS的技术不是很高。
虽然主流协议(ssh、ftp、http……)的流量可以无缝地通过隧道,但所有其他流量(例如 rsync、端口 82 上的 NGINX……)都被阻止。不用说,使用 LAN 链接不会出现任何问题。
我们为来自 VPN 的流量设置了允许 IP 任何。
查看文档,我们进行了测试并运行:
Asa(config)# sysopt connection permit-vpn
这允许所有流量流动,但由于我们有不同的客户通过 VPN 连接,因此我们无法保持此选项处于活动状态。
我们检查了存储在日志服务器中的所有 ASA 日志,但在其中找不到任何提示。
我们尝试通过思科的在线文档寻找解决方案,并浏览用户组,但没有成功。
我们相信这个解决方案非常简单,没有人会在遇到这个问题时不能立即解决它。
任何关于要检查什么的提示都欢迎。我们的运行配置非常庞大,我们认为发布所有内容没有用,但如果需要,我们可以发布建议的块。
答案1
事实证明有一个应用的 ACL,它根据列表过滤了所有端口。
我们找到了它并将所需的协议添加到列表中。