一侧有多个子网的 IPsec

一侧有多个子网的 IPsec

我有以下情况:

Client subnet(192.168.0.0 /24) ----> Router ----> Internet ----> 
           ASA(172.17.0.2 /24) ----> 
       (172.17.0.1 /24)Gateway ----> (10.0.0.0 /8)Many subnets 

我需要将客户端子网逻辑地连接到“多个子网”。左侧有一台 Cisco 2901,另一侧有一台 ASA。我在路由器和 ASA 之间建立了 IPsec 连接。IPsec 连接本身可以工作,但我无法访问网关后面的任何地址。IPsec 连接的本地网络是网络10.0.0.0/8

ASA 无法理解它必须通过网关路由流量(172.17.0.1)。我已经在内部接口上设置了默认路由,10.0.0.0 255.0.0.0.0 172.17.0.1但不起作用……

我如何告诉 ASA 它必须通过网关路由所有流量?

答案1

您需要将“多个子网”添加到受保护的网络。

路由器应将 192.168.0.0/24 作为其受保护网络。ASA 应具有“许多子网“作为他的受保护网络。

此外,除非您选中“不要转换 VPN 流量",您需要在 ASA (172.17.0.2) 中添加 NAT 规则,以便让 VPN 流量穿越 ASA。

如果您需要双方发起连接,则您的 NAT 规则应该是静态的。

相关内容