У нас есть asa5505, и я пытаюсь создать соединение IPsec VPN, чтобы наши пользователи могли подключаться к сети, когда они находятся вне офиса.
Они будут подключаться с помощью программного обеспечения для подключения VPN, включенного в Windows 7.
Не могли бы вы, ребята, предложить им подключиться к asa5505 через vpn (таким образом, получив доступ к сети), или если я должен создать правило NAT для перенаправления всего трафика на сервер VPN (сервер 2008 R2) и обработать его?
Пытаюсь убедиться, что выбираю правильный маршрут с VPN-подключением к ASA.
Спасибо!
По возможности избегайте использования IPsec с помощью NAT. IPsec не поддерживает NAT и работает только благодаря разработанным обходным путям и хитростям.
См. Этот пост для получения списка обходных путей.
Если у вас есть зеленое поле, откажитесь от VPN удаленного доступа IPsec для VPN-клиента Cisco AnyConnect - на основе SSL / TLS.
ASA5505 поставляется с двумя лицензиями AnyConnect Premium, но может быть обновлен до лицензии AnyConnect Essentials менее чем за 100 долларов, что даст вам VPN на платформе 5505 максимум 25 удаленных клиентов AnyConnect Essentials.
SSL / TLS AnyConnect гораздо более дружелюбен к брандмауэрам, будет надежно работать в кафе, аэропортах и других точках доступа с большим количеством NAT. Клиент AnyConnect IMHO проще, чище и удобнее для конечных пользователей.
Однако, если вы должны придерживаться IPsec, мой голос - сохранить ASA в качестве конечной точки.
Насколько мне известно, ASA не поддерживает подключения из собственного программного обеспечения Windows VPN. Для этого требуется установка программного обеспечения Cisco VPN на рабочий стол пользователя. Если вы хотите, чтобы ваши пользователи использовали собственное программное обеспечение Windows VPN, я бы рекомендовал использовать сервер Windows в качестве конечной точки VPN.