Я хотел бы, чтобы внутренние пользователи могли подключаться к https-серверу внешнего интерфейса ASA, чтобы иметь возможность загружать клиент AnyConnect, находясь в офисе. В настоящее время это не работает.
Я установил статическую запись NAT с внутренними источниками и внешним / tcp / https в качестве пункта назначения. У нас есть разрешить любой ACL во внутреннем интерфейсе. Во внешнем интерфейсе ACL я добавил ACE для внутреннего трафика на внешний интерфейс https.
Запуская Wireshark со своей рабочей станции, я вижу RST, ACK от ASA при попытке подключиться к серверу https.
Почему бы просто не сделать так, чтобы служба HTTPS также прослушивала внутренний интерфейс, а вместо этого подключила их к этому адресу?
http 10.0.0.0 255.0.0.0 inside
Если по какой-то причине вам все же нужно, чтобы они продолжали пытаться подключиться к внешнему интерфейсу, то настройка его для разрешения кросс-интерфейсного ввода может помочь:
management-access outside
(не совсем то, что вы ищете ...)
Я предоставляю гостям "общедоступную" сеть Wi-Fi. (по дешевой dsl или кабельной линии)
Это дает вам полностью сегментированную среду для посетителей И может использоваться для проверки таких вещей, как подключение к VPN.
Возможно, вам поможет что-то подобное.
В качестве альтернативы может помочь привязанный телефон или устройство Mifi.