Интересно, что не так с asa5510-setup, доставленным мне некоторыми парнями. Пул адресов, настроенный на asa-box, равен 192.168.3.0 для anyconnect.
Когда я вхожу в систему через anyconnect, я могу получить доступ ко всем IP-адресам в моей подсети, это 192.168.2.0, но когда я пытаюсь подключиться к подсети в другом месте 10.0.1.0, который настроен с помощью vpn-site-to-site , ничего недоступно.
Я, конечно, могу подключиться (ping recources) к подсети 10.0.1.0- при локальном входе в мой домен Windows.
Что мне не хватает? Кстати, могу ли я настроить anyconnect на использование dhcp-сервера в моем домене (windows 2008 server dhcp).
Мое первое предположение заключается в том, что вам нужно настроить ASA, чтобы трафик NAT не шел в другую подсеть.
access-list NONAT extended permit ip 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0
nat (inside) 0 access-list NONAT
Вам нужно будет отредактировать ACL в соответствии со своими потребностями.
Опять же, только предположение.
Недавно я развернул очень похожую установку с парой ASA 5510, и у нас была такая же проблема, пытаясь заставить VPN-клиентов на одном ASA говорить с подсетью, доступной только через туннель IPsec между двумя ASA. По умолчанию нет правила, разрешающего трафик между этими подсетями между внешним интерфейсом и внутренним интерфейсом, и, поскольку поведение по умолчанию заключается в отбрасывании трафика извне внутрь, трафик сбрасывается. Поначалу это немного странно, но имейте в виду, что даже если ваши VPN-клиенты находятся в частном адресном пространстве, трафик по-прежнему поступает через внешний интерфейс, и правила необходимо настроить соответствующим образом. Для нас решение было простым: разрешить трафик IPsec из клиентской сети VPN во внешнюю сеть извне внутрь и наоборот. Все сразу заработало.