Первый раз настраиваю VPN для удаленного доступа для 8.3 / 8.4, поэтому команды NAT и VPN для меня немного отличаются.
Ниже приведена конфигурация VPN и соответствующий NAT для NO NAT в IP-пространстве. Если бы кто-нибудь мог просмотреть это и сообщить мне, если я что-то упускаю. Сеть 192.0.0.0 / 24 га, не опечатка.
crypto ikev1 enable outside
crypto ikev1 policy 10
encryption 3des
authentication pre-share
hash sha
access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
access-list SPLIT-TUNNEL-VPN standard permit 192.0.0.0 255.255.255.0
group-policy REMOTE-VPN-GP internal
group-policy REMOTE-VPN-GP attributes
vpn-tunnel-protocol ikev1
address-pools value REMOTE-VPN-POOL
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-TUNNEL-VPN
dns-server value 192.0.0.201
tunnel-group REMOTE-VPN-TG type remote-access
tunnel-group REMOTE-VPN-TG general-attributes
default-group-policy REMOTE-VPN-GP
authentication-server-group LOCAL
tunnel-group REMOTE-VPN-TG ipsec-attributes
ikev1 pre-shared-key **********
ip local pool REMOTE-VPN-POOL 192.0.1.1-192.0.1.100 mask 255.255.255.0
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map OUTSIDE-DYNMAP 65535 set ikev1 transform-set ESP-3DES-SHA
crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic OUTSIDE-DYNMAP
crypto map OUTSIDE_MAP interface outside
// Нет подсети NAT
object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0
object network VPN_LAN
subnet 192.0.1.0 255.255.255.0
nat (inside,outside) source static INSIDE_LAN INSIDE_LAN destination static VPN_LAN VPN_LAN
или я бы сделал это без нац:
nat (inside,outside) 1 source static any any destination static VPN_LAN VPN_LAN
Мой NAT в настоящее время настроен как:
object network LAN_NAT
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface
Если 192.0.0.0/24 твой внутри интерфейс / LAN, тогда что 192.0.1.0/24?
Вы дали объекту имя VPN_LAN к 192.0.1.0/24 подсеть? Однако вы определяете пул адресов VPN удаленного доступа как 10.1.2.140-10.1.2.145. Адреса, назначенные клиентским адаптерам VPN, будут в диапазоне 10.1.2.140-10.1.2.145.
Я собираюсь предположить, что 192.0.1.0/24 не нужен и что ваш внутри является 192.0.0.0/24 и ваши клиентские адаптеры VPN будут получать IP-адреса из 10.1.2.140-10.1.2.145 пул - вы можете просто сделать это 10.1.2.0/24 - однако я продолжу использовать ваш существующий пул.
Вы можете настроить свой внутри исходящий динамический интерфейс настройки PAT со следующим. Вы создали другой LAN_NAT объект, когда вы можете определить свой динамический интерфейс PAT прямо в INSIDE_LAN объект - они появляются в двух разных частях конфигурации (определение подсети и объект NAT), но (и могут) по-прежнему определены в одном и том же объекте.
object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface
Ниже представлен созданный сетевой объект, представляющий блок IP, являющийся пулом. Не переопределяет сам пул как есть ip local pool.
object network RAVPN_POOL
subnet 10.1.2.0 255.255.255.0 ! adjust this and pool itself to meet needs
Настройте NAT (без NAT) следующим образом - не в объекте, а в двойном NAT.
nat (inside,outside) source INSIDE_LAN INSIDE_LAN destination static RAVPN_POOL RAVPN_POOL description [[ Inside to RA Identity NAT ]]
Предполагая, что я понимаю вашу настройку, вы можете избавиться от LAN_NAT и VPN_LAN объекты и 192.0.1.0/24 запись в SPLIT-TUNNEL-VPN ACL.
no access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
no object network LAN_NAT
no object network VPN_LAN
Есть некоторые дополнительные моменты, которые следует учитывать в вашей политике P1 / IKE - 3DES / MD5 в P1, когда вы указали P2 как 3DES / SHA, это нормально, но немного странно.