Я установил VPN на нашем ASA5510 (8.0. (3)), все работает нормально, за исключением того, что я не могу удаленно добраться до наших вспомогательных офисов или каких-либо маршрутизаторов / коммутаторов в сети 10.76.xx ... похоже, это будет проблема с маршрутизацией или ACL не настроен, чтобы разрешить группе VPN DHCP общаться с сетью 10.76, но я пока этого не вижу.
Область действия VPN DHCP составляет 10.74.10.0/24 - когда я использую VPN, я могу успешно пинговать нашу внутреннюю сеть (10.74.4.0/23) и получить доступ ко всему, что необходимо в сети, но если я попытаюсь выполнить эхо-запрос 10.76.xx (10.76.0.x) или наши коммутаторы / маршрутизаторы / и т. д., 10.76.1.0/26 для наших вспомогательных офисов) или удаленно к ним, я не могу пройти. Он просто не видит сетей 10.76.x.x…
У меня есть заявление об освобождении от налогов на ASA снаружи, от 10.74.10.0/24 до 10.74.0.0/16 для входящих, и одно такое же для 10.76.0.0/16. У меня также есть внутреннее заявление об освобождении в обратном порядке, внутри, от 10.74.0.0/16 до 10.74.10.0/24, и одно такое же для 10.76.0.0/16.
На брандмауэре у меня есть ACL внутри от 10.74.0.0/16 до 10.74.10.0/24, разрешение IP, похоже, работает, и я вижу, что количество обращений растет. У меня есть такое же утверждение для 10.76.0.0/16, но я никогда не видел, чтобы на него ссылались, сидя с 0 попаданиями.
На брандмауэре у меня есть ACL снаружи, говорящий, что от 10.74.10.0/24 до 10.74.0.0/16 разрешает IP, работает, и я вижу, что количество обращений растет, но есть аналогичное утверждение для 10.76.0.0/16 и того же как и выше, без попаданий.
У меня установлен туннельный маршрут по умолчанию для нашего внутреннего интерфейса.
Вероятно, в настоящее время у меня слишком много разрешенного или, по крайней мере, одна или две строки, которые не нужны, но если бы я мог заставить это работать, я мог бы отодвинуть его назад, чтобы усилить это ... Я тоже пробовал смотреть журналы. Я вошел в системный журнал kiwi, следил за ним, пока пытался пинговать 10.76.x.x с ноутбука, подключенного к VPN. Я никогда не вижу отрицания этого, и я даже не вижу адрес 10.76 где-либо в журнале, когда я выполняю поиск. Я вижу IP-адрес ноутбука, с которого он разговаривает с нашим контроллером домена, где он выполняет инициализацию и тому подобное, но ничего не имеет отношения к сети 10.76. Я ожидал увидеть где-нибудь запись о том, где его останавливают ... но это заставляет меня думать, что до этого даже не доходит.
Я уверен, что, как обычно, это что-то маленькое, что я не замечаю, но свежий взгляд (или много свежих взглядов!) Может быть тем, что ему нужно. Я ценю помощь, спасибо!
Вам потребуются VPN для удаленных сайтов, которые будут настроены для передачи трафика в ваш диапазон мобильных VPN, а также мобильная VPN для передачи диапазонов удаленных сайтов: (10.74.10.0/24 <==> 10.76.0.0/16) на и ноутбуки-cisco, и удаленные сайты cisco.
Если у вас нет этого на ноутбуке-cisco VPN, тогда трафик для удаленных сайтов никогда не достигнет cisco (используйте "route print" в командной строке, чтобы узнать это в Windows), а если у вас этого нет в сетях VPN cisco-remote-sites трафик остановится на cisco, и удаленные сайты не будут знать, как отправлять трафик на ваш ноутбук, потому что их политики туннелей не знают, где находится 10.74.10.0/24.
Если другое устройство выполняет VPN с удаленными сайтами, это может быть простая проблема маршрутизации - все устройства должны маршрутизировать сети в обоих направлениях, а не только на удаленные сайты, но и обратно. Хотя, скорее всего, это политики туннелей.