У меня два сервера:
Перед настройкой vpn я мог пинговать y.y.y.y с любого компьютера на a.a.a.a / 24.
Моя проблема в том, что после настройки vpn между двумя рассматриваемыми серверами я больше не могу пинговать y.y.y.y с a.a.a.a / 24. Кто-нибудь знает, почему это может быть?
Я предполагаю, что пинг на y.y.y.y без нужды направляется через туннель vpn, но я не уверен, как этого избежать. Кроме того, если он проходит через vpn, то почему vpn не позволяет это .. ключ к этому может быть в журналах asa5505, в которых говорится:
Group = x.x.x.x, IP = x.x.x.x, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy a.a.a.a/255.255.255.0/0/0 local proxy y.y.y.y/255.255.255.255/0/0 on interface Outside
И снова моя проблема в том, что я не могу интерпретировать эту ошибку.
В случае с vpn-клиентом, vpn-клиент по умолчанию получает указание отправлять весь трафик через VPN, то есть все, что в сети не подключено напрямую. Ваша таблица маршрутизации игнорируется. Вам нужно будет включить разделенное туннелирование на ASA, если вы не хотите, чтобы весь трафик передавался по VPN-туннелю, когда вы подключены.
Если это lan для lan vpn с топологией примерно так:
<------VPN------>
a.a.a.a/24---[Checkpoint]---Internet---[ASA]---b.b.b.b/28
x.x.x.x y.y.y.y
Вы не можете проверить связь с ASA, когда VPN работает, потому что межсетевые экраны Check Point включают себя в локальный домен шифрования, а ASA - нет.
Самым простым решением было бы добавить внешний адрес ASA к его локальному домену шифрования, поэтому криптографический acl на ASA должен быть чем-то вроде:
access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y host x.x.x.x
access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y a.a.a.a 255.255.255.0
access-list asa-checkpoint-vpn_acl permit ip host b.b.b.b 255.255.255.240 a.a.a.a 255.255.255.0