Назад | Перейти на главную страницу

ASA VPN :: Почему блокируются пакеты в частной сети?

Успешно подключились к моему ASA через VPN-клиент.

Настройка: ASA >> Switch >> 2 сервера CentOS Linux

Когда я открываю локальный терминал (OSX), я могу пинговать внутренний интерфейс (192.168.0.1), но не внутри серверов, прослушивающих 192.168.0.2 ~ 254

Внутренние серверы могут пинговать друг друга, а также 192.168.0.1

Похоже, что запросы ping VPN к серверу-на-внутри-IP отправляются обратно через общедоступный интерфейс Linux-бокса (шлюз настроен на общедоступный, а не частный)

Ни в коем случае не опытный системный администратор, я попытался установить шлюз на частном интерфейсе сервера и выполнил «перезапуск служебной сети» - без костей, похоже, Linux не любит несколько шлюзов?

В любом случае, было бы неплохо подключиться к VPN и иметь доступ к внутренней сети; тогда я мог блокировать весь трафик, кроме веб-сервисов, и только SSH через VPN.

Должен быть способ сделать это, идеи оценены

Понимаю ли я, что на машинах Linux есть два сетевых адаптера - один подключен к Интернету и использует общедоступный IP-адрес, а другой подключен к локальной сети с помощью ASA?

Если предположить, что это так, похоже, что вам просто нужен статический маршрут на всех ваших машинах Linux для маршрутизации трафика, полученного из подсети VPN, обратно в ASA, а не на шлюз по умолчанию. В зависимости от вашего дистрибутива Linux метод добавления статического маршрута и обеспечения его постоянства при загрузке будет различаться, но вы можете довольно легко протестировать его, просто добавив маршрут «вручную» и посмотрите, как он работает. Что-то вроде route add -net a.a.a.a netmask b.b.b.b gw c.c.c.c где a.a.a.a - сетевой идентификатор подсети VPN, b.b.b.b - маска подсети подсети VPN, а c.c.c.c - адрес ASA. Предполагая, что ASA находится в той же подсети, что и один из сетевых адаптеров на машинах Linux, ответы на IP-адреса VPN будут отправлены ящиками Linux на сетевом адаптере, подключенном к подсети ASA.