Вопросы Теги

Cisco ASA VPN - Направьте весь интернет-трафик от удаленного сайта до ISP основного сайта

Вы не можете. Это только для Windows 2000 и поставлется на медиа Windows 2000 и пакетах обновления.

Выберите Add/Remove Windows Components в своей установке Windows 2000. Если у Вас есть версия Windows, больше, чем Windows 2000, Вам не повезло.

2
задан 23 April 2015 в 15:09
2 ответа

Alter the ACLs controlling your tunnel policy to permit the traffic:

Site A:

access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts
no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts

Site B:

access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any
no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts

Traffic coming through this tunnel will be coming in the outside interface, getting decrypted, and going right back out the outside interface (I hope this works for your web filter!), so you'll need to account for that, too:

(config disclaimer: this is 8.2 config, adjust accordingly)

same-security-traffic permit intra-interface
nat (outside) 1 10.X.X.0 255.255.255.0

With this in place, all traffic will catch the encryption policy and the tunnel will build with local/remote networks of 0.0.0.0/0.

testasa# show crypto ipsec sa
interface: outside
    Crypto map tag: outside_map, seq num: 100, local addr: X.X.X.X

      access-list outside_cryptomap_A permit ip any object-group site_b_hosts
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.X.X.0/255.255.255.0/0/0)
      current_peer: test-endpoint-public

      #pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719
      #pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626
1
ответ дан 3 December 2019 в 11:01

Предполагая, что ваш прокси-сервер на сайте A - pppp, а локальная подсеть на сайте b - bbb0 / 24

. Вам необходимо настроить локальный домен шифрования на сайте A, чтобы он содержал ваш прокси-сервер, а удаленный домен шифрования на сайте B - для содержат ваш прокси-сервер. Вам также может потребоваться изменить списки доступа брандмауэра, чтобы разрешить прохождение трафика, в зависимости от вашей конфигурации.

поэтому на сайте A ASA 

access-list site-A-site-B_vpn permit ip host p.p.p.p b.b.b.0 255.255.255.0
access-list outside_access_in permit ip b.b.b.0 255.255.255.0 host p.p.p.p

и на сайте B ASA 

access-list site-B-site-A_vpn permit ip b.b.b.0 255.255.255.0 host p.p.p.p
access-list inside_access_in permit ip b.b.b.0 255.255.255.0 host p.p.p.p

, если вы не используете явно определенный прокси-сервер, вы столкнетесь с небольшими трудностями, потому что вам фактически придется туннелировать 0.0.0.0/0 через ваш vpn, и GRE через IPSEC может быть лучшим вариантом ...

2
ответ дан 3 December 2019 в 11:01

Теги

Похожие вопросы