Я находился в процессе настройки туннеля ipsec vpn между сайтами за мобильным широкополосным маршрутизатором, когда обнаружил, что не могу выполнить переадресацию портов в этой сети, поэтому я не смогу использовать ipsec site-to-site на ASA5505, который у меня сзади.
Мне нужно другое решение для подключения клиентов, и я наткнулся на Cisco Easy VPN.
Обязательно ли перенаправлять любые порты на удаленном конце? Или это просто работает как AnyConnect?
(У меня сейчас нет ASA в моем распоряжении, поэтому я не могу его протестировать, и мне нужно, чтобы он работал в понедельник, поэтому я надеюсь, что кто-то может мне сейчас помочь, поэтому я знаю, сработает ли он в понедельник :-) Я не могу найти ничего об этом в интернете)
Спасибо, ребята, Расмус.
Сегодня я сам нашел ответ, попробовав его.
Он ДЕЙСТВИТЕЛЬНО работает, когда Easy VPN настроен как режим клиента. Расширенный сетевой режим не работал первым, я не уверен, можно ли это исправить, но режим клиента работает без перенаправления портов.
Любые методы перенаправления портов между сайтами, используемые с установленной VPN между этими сайтами, являются признаком плохой конструкции и, вероятно, плохо выполнены. При правильном проектировании VPN любые подсети внутри VPN должны иметь полное соединение и не нужно ничего пересылать друг другу.
То же правило применяется, когда шлюз безопасности находится за NAT - этого не должно быть. Даже если это связано с организационными проблемами, это означает, что у данной конкретной организации нет сотрудничества внутри.