Я подключаюсь к ASA5505 из дома в головной офис с помощью L2TP VPN.
Затем головной офис подключается к другому офису через туннель IPSEC между сайтами.
Находясь в головном офисе (192.168.100.0/24), я могу пинговать / получить доступ к удаленному офису (192.168.200.0/24) ОК.
При удаленном подключении к головному офису я могу пинговать / получить доступ к головному офису OK с ноутбука Road-Warrior.
Моя проблема в том, что при удаленном подключении из дома к головному офису я не могу проверить связь / получить доступ к подсети другого офиса.
На домашнем ноутбуке VPN-соединение L2TP настроено на маршрутизацию всего трафика к VPN-соединению с использованием HQ в качестве интернет-шлюза. Я могу подтвердить, что это работает.
Я не могу выполнить traceroute (у меня таймауты), поскольку моя политика не позволяет, и я не знаю, как правильно включить это на ASA.
Любые идеи, что не так, конфигурация ниже:
names
name 192.168.200.0 othersite
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 34.35.36.3 255.255.255.252
!
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0
access-list inside_nat0_outbound extended permit ip any 192.168.100.0 255.255.255.0
access-list outside_1_cryptomap extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0
access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.100.0 255.255.255.0
access-list outside_in_acl extended permit icmp any any echo-reply
access-list outside_in_acl extended permit tcp any interface outside eq smtp
ip local pool VPNLAN 192.168.100.210-192.168.100.240 mask 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 192.168.100.0 255.255.255.0
nat (outside) 1 192.168.100.0 255.255.255.0
static (inside,outside) tcp interface smtp 192.168.100.3 smtp netmask 255.255.255.255
access-group outside_in_acl in interface outside
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 192.168.100.3
vpn-tunnel-protocol l2tp-ipsec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl_1
tunnel-group DefaultRAGroup general-attributes
address-pool VPNLAN
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
tunnel-group 40.35.36.122 type ipsec-l2l
tunnel-group 40.35.36.122 ipsec-attributes
pre-shared-key *****
ACL разделенного туннеля должен охватывать IP-адреса другого сайта, поскольку этот трафик должен отправляться через VPN клиентом.
access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.200.0 255.255.255.0
В остальном конфиг выглядит неплохо. Если это не помогает, включите регистрацию на ASA и посмотрите, что происходит, когда вы пытаетесь отправить трафик.