Как создать общедоступную долю SMB в предвыпускной версии Windows Server 2012 года
1) Ваши клиенты устанавливают туннель непосредственно с ASA или с "сервером VPN" в Вашей схеме? 2) Ваши клиенты VPN дают тот же диапазон IP как Вашу внутреннюю сеть или отдельный диапазон?
На основе записи в журнале это кажется, что Ваши клиенты устанавливают туннель к ASA и, учитывая другую подсеть, чем внутренняя сеть. Если это верно, я думаю, что Вам нужно правило освобождения NAT о Вашем ASA, чтобы сказать этому не пытаться трафик NAT между Вашим внутренним диапазоном IP и Вашим диапазоном IP VPN. Это сохраняет Ваш источник (подсеть VPN) и сети назначения (внутренняя подсеть), таким образом, ASA не думает, что этому нужно общедоступное/частное правило NAT для доступа к внутренней сети на основе 2 интерфейсов, на которых это видит, что трафик проникает. В GUI это находится под: вкладке Configuration>> Брандмауэр>> Правила NAT, хотя у меня были смешанные события при создании правил как это в GUI - возможно, придется перейти к CLI.
Как утверждает Брент, самый простой, но наименее безопасный подход - предоставить доступ группе Все .
Однако, вероятно, лучше настроить пользователя только для доступа к этому общему ресурсу и выдачи учетных данных этой учетной записи. Это более безопасно и дает вам больше возможностей - вы можете настроить разных пользователей с разными уровнями доступа, и если ваша сеть будет скомпрометирована, у вас будет некоторая защита от злонамеренного пользователя, крадущего или уничтожающего информацию на вашем общем ресурсе. Или, если учетные данные в конечном итоге будут распространены, вы можете изменить пароль, чтобы только люди, к которым вы хотите иметь доступ, действительно имели доступ.
Что касается настройки домена ... это тоже вариант, но в зависимости от размер вашей сети (сколько пользователей и клиентских машин), это может быть больше проблем, чем стоит.
Проще всего было бы просто предоставить группе «Все» доступ на чтение и / или чтение / запись как на уровне NTFS, так и на уровне общего доступа. Тогда вам просто нужно иметь IP-адрес или имя NetBIOS для подключения к нему.
Хотя это очень небезопасно и не совсем лучшая практика. Лучшим вариантом всегда будет настройка Active Directory для максимального контроля и простоты управления. Однако, если, как вы говорите, это частная сеть со всеми доверенными пользователями, у вас не должно возникнуть проблем с использованием только группы «Все».