Как ограничить пользователя VPN всего одним хостом?
Никакой путь, нет никакой достойной технологии для того - учитывая Вашу инфраструктуру.
DNS не будет работать, если Вы не сохраните свой тайм-аут домена DNS МАЛЕНЬКИМ (диапазон секунд), который является fronws на. ЕСЛИ можно сделать это, Вы могли бы написать сценарий его правильно (сценарий на сервере 2 не может достигнуть сервера 1, таким образом изменяет записи DNS). Это в значительной степени - единственный способ сделать это.
В зависимости от того, как Ваша установка DNS, это было бы или там, ИЛИ - регистрация записи хоста с помощью чего-то как dyndns.org и заменило бы Ваш В записи с CNAME. DynDNS.org имеет хороший API, который Вы могли назвать через HTTP для изменения записи, и CNAME никогда не будет изменяться. Они также сохраняют свои домены на коротком TTL.
Это в значительной степени - все опции. Существуют другие для этого, но они требуют большого количества инфраструктуры, которую Вы не имеете в распоряжении.
Вот что я в итоге сделал:
Создайте новую групповую политику, которая имеет разделенный туннель только с хостом / сетью, к которой я хочу, чтобы пользователь VPN имел доступ. Затем создайте ACL, чтобы разрешить сетевой доступ только к тому, что вы хотите. Примените этот ACL к GP с помощью следующей команды: vpn-filter value (вы должны применить это, когда вы находитесь в атрибутах GP). Затем создайте новый групповой туннель и привяжите его к новому GP. Теперь вы можете предоставить этому пользователю новый PCF, и пользователь будет привязан к указанному вами хосту / сети.
Я надеялся найти решение, при котором мне не пришлось бы создавать новые GP, TP и локальный пользователь ASA, но я думаю, это работает.