Назад | Перейти на главную страницу

Cisco ASA (Client VPN) в LAN - через вторую VPN во вторую LAN

У нас есть 2 сайта, которые связаны IPSEC VPN с удаленными Cisco ASA:

Сайт 1 1,5 Мб T1 Соединение Cisco (1) 2841

Сайт 2 1,5 Мб T1 соединение Cisco 2841

К тому же:

Сайт 1 имеет 2-е соединение T1 с подключением к глобальной сети 3 МБ Cisco 5510, которое подключается к той же локальной сети, что и Cisco (1) 2841.

По сути, пользователям удаленного доступа (VPN), подключающимся через Cisco ASA 5510, требуется доступ к услуге в конце Сайта 2. Это связано с тем, как эта услуга продается - маршрутизаторы Cisco 2841 не находятся под нашим управлением и настроены таким образом, чтобы разрешить подключение из локальной сети VLAN 1 IP-адрес 10.20.0.0/24. Моя идея состоит в том, чтобы весь трафик от удаленных пользователей через Cisco ASA, предназначенный для Сайта 2, проходил через VPN между Сайтом 1 и Сайтом 2. Конечным результатом является то, что весь трафик, попадающий на Сайт 2, проходит через Сайт 1.

Я изо всех сил пытаюсь найти много информации о том, как это настроить. Итак, во-первых, может ли кто-нибудь подтвердить, что то, чего я пытаюсь достичь, возможно? Во-вторых, может ли кто-нибудь помочь мне исправить приведенную ниже конфигурацию или указать мне пример такой конфигурации?

Большое спасибо.

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 7.7.7.19 255.255.255.240  


interface Ethernet0/1    
 nameif inside    
 security-level 100    
 ip address 10.20.0.249 255.255.255.0    


object-group network group-inside-vpnclient  
 description All inside networks accessible to vpn clients  
 network-object 10.20.0.0 255.255.255.0  
 network-object 10.20.1.0 255.255.255.0    
object-group network group-adp-network  
 description ADP IP Address or network accessible to vpn clients  
 network-object 207.207.207.173 255.255.255.255  

access-list outside_access_in extended permit icmp any any echo-reply  
access-list outside_access_in extended permit icmp any any source-quench  
access-list outside_access_in extended permit icmp any any unreachable  
access-list outside_access_in extended permit icmp any any time-exceeded  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq smtp  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq https  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq pop3  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq www  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq www  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq https  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq 5721  
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient any  
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient object-group group-adp-network  
access-list acl-vpnclient extended permit ip object-group group-adp-network object-group group-inside-vpnclient  
access-list PinesFLVPNTunnel_splitTunnelAcl standard permit 10.20.0.0 255.255.255.0  
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 10.20.1.0 255.255.255.0  
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 host 207.207.207.173  
access-list inside_nat0_outbound_1 extended permit ip 10.20.1.0 255.255.255.0 host 207.207.207.173  

ip local pool VPNPool 10.20.1.100-10.20.1.200 mask 255.255.255.0  

route outside 0.0.0.0 0.0.0.0 7.7.7.17 1  
route inside 207.207.207.173 255.255.255.255 10.20.0.3 1  

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
crypto ipsec security-association lifetime seconds 28800  
crypto ipsec security-association lifetime kilobytes 4608000  
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA  
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 288000  
crypto dynamic-map outside_dyn_map 20 set security-association lifetime kilobytes 4608000  
crypto dynamic-map outside_dyn_map 20 set reverse-route  
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map  
crypto map outside_map interface outside  
crypto map outside_dyn_map 20 match address acl-vpnclient  
crypto map outside_dyn_map 20 set security-association lifetime seconds 28800  
crypto map outside_dyn_map 20 set security-association lifetime kilobytes 4608000  
crypto isakmp identity address  
crypto isakmp enable outside  
crypto isakmp policy 20  
 authentication pre-share  
 encryption 3des  
 hash sha  
 group 2  
 lifetime 86400  

group-policy YeahRightflVPNTunnel internal  
group-policy YeahRightflVPNTunnel attributes    
 wins-server value 10.20.0.9  
 dns-server value 10.20.0.9  
 vpn-tunnel-protocol IPSec  
 password-storage disable  
 pfs disable  
 split-tunnel-policy tunnelspecified  
 split-tunnel-network-list value acl-vpnclient  
 default-domain value YeahRight.com  
group-policy YeahRightFLVPNTunnel internal  
group-policy YeahRightFLVPNTunnel attributes  
 wins-server value 10.20.0.9  
 dns-server value 10.20.0.9 10.20.0.7  
 vpn-tunnel-protocol IPSec  
 split-tunnel-policy tunnelspecified  
 split-tunnel-network-list value YeahRightFLVPNTunnel_splitTunnelAcl  
 default-domain value yeahright.com  

tunnel-group YeahRightFLVPN type remote-access  
tunnel-group YeahRightFLVPN general-attributes  
 address-pool VPNPool  

tunnel-group YeahRightFLVPNTunnel type remote-access  
tunnel-group YeahRightFLVPNTunnel general-attributes  
 address-pool VPNPool  
 authentication-server-group WinRadius  
 default-group-policy YeahRightFLVPNTunnel  
tunnel-group YeahRightFLVPNTunnel ipsec-attributes  
 pre-shared-key *

Конечно, вы можете реализовать этот сценарий. Это называется «шпилька». вам потребуется следующее: - настроить POOL пользователей удаленного доступа, чтобы он был частью криптографического списка доступа, связанного с криптокартой; - настройте NAT-EXEMPT или NO-NAT access-list для включения пула.

самое главное:

  • настройте эту команду: «same-security-traffic allow intra-interface», чтобы разрешить входящему и исходящему трафику одного и того же интерфейса в Cisco ASA.
  • настроить одноранговый узел туннеля (маршрутизатор) для включения пула пользователей удаленного доступа в список криптографического доступа, поскольку список криптодоступа для туннеля L2L должен быть зеркалирован на обоих узлах.
  • если пользователи удаленного доступа используют раздельное туннелирование, необходимо убедиться, что подсети за удаленным одноранговым узлом (маршрутизатором) включены в список доступа с разделенным туннелем.

посмотри это: https://supportforums.cisco.com/message/3864922

Надеюсь это поможет.

Машал

Добавьте дополнительную информацию и схему, было бы очень полезно помочь. Мы не знаем IP-адреса вашего Сайта 2. Кажется, что в группе group-inside-vpnclient отсутствует, поскольку 10.20.0.0/24 находится на сайте 1, а 10.21.1.0/24 - ваш пул vpn. Вам также понадобится маршрут для IP-адреса сети сайта 2 через маршрутизатор сайта 1. Если 207.207.207.173 - это IP-адрес, который вы пытаетесь достичь на сайте 2, нам действительно нужны дополнительные разъяснения.