Я использую ASA 5510 для большой сети, содержащей несколько подсетей, некоторые из которых (беспроводные) имеют ограниченный доступ к сети. Я хотел бы разрешить пользователям беспроводной сети иметь возможность использовать VPN для полного доступа к сети, однако ни один из узлов внутренней сети не может подключаться к VPN или даже пинговать внешний интерфейс ASA.
Я предполагаю, что это как-то связано с тем, что мои правила NAT мешают. Может кто-то указать мне верное направление?
Вот рабочая конфигурация (очищенная): http://pastebin.com/snN4AVSA
пакетный трассировщик пинг изнутри наружу: http://pastebin.com/hX8X8kTr
Я думаю, что самый простой способ добиться того, чего вы хотите, - это подключить ваши точки доступа за пределами ASA или в какой-то DMZ. Тогда вы не пытаетесь сделать что-то слишком отличное от нормы - например, предоставить VPN-доступ клиентам за пределами защищенной сети, не допуская при этом ненадежных клиентов.
Не повезло ни здесь, ни на форумах Cisco, хотя я все же убежден, что это возможно. Ну, в любом случае я создал отдельную VLAN для защищенной беспроводной сети 802.1x.
Вы не сможете получить доступ к своей VPN изнутри сети из-за маршрутизации.