0

我的帖子

个人中心

设置

  发新话题
SSL VPN 隧道分離已關閉 流量還是只有去往內網的走VPN
我需要所有流量走VPN 如何設置?



引用:
原帖由 sun329 于 2018-4-10 16:30 发表
SSL VPN 隧道分離已關閉 流量還是只有去往內網的走VPN
我需要所有流量走VPN 如何設置?
隧道分离关闭应该就是所有流量走VPN哦,你看看是不是有配置错误,还有,你可以在电脑配置静态路由,所有路由走VPN咯



51CTO论坛有移动端啦!扫码下载体验就送月会员哦!
引用:
原帖由 vsop5207 于 2018-4-10 17:19 发表

隧道分离关闭应该就是所有流量走VPN哦,你看看是不是有配置错误,还有,你可以在电脑配置静态路由,所有路由走VPN咯
隧道分離關閉了 還要檢查哪些配置



引用:
原帖由 sun329 于 2018-4-10 16:30 发表
SSL VPN 隧道分離已關閉 流量還是只有去往內網的走VPN
我需要所有流量走VPN 如何設置?
流量確實有走VPN 訪問內網正常訪問網站都是不通的



引用:
原帖由 sun329 于 2018-4-11 08:22 发表

流量確實有走VPN 訪問內網正常訪問網站都是不通的
你还要下发内网的DNS 服务器地址



引用:
原帖由 mosquitos 于 2018-4-11 08:54 发表

你还要下发内网的DNS 服务器地址
group-policy RAS internal
group-policy RAS attributes
wins-server value 10.10.1.2
dns-server value 10.10.1.2
我配置有DNS




本帖最后由 sun329 于 2018-4-11 11:08 编辑
引用:
原帖由 sun329 于 2018-4-11 11:06 发表

group-policy RAS internal
group-policy RAS attributes
wins-server value 10.10.1.2
dns-server value 10.10.1.2
我配置有DNS
那还要设置split dns  作用是哪些域名需要用这个dns服务器来解析



引用:
原帖由 mosquitos 于 2018-4-11 11:35 发表

那还要设置split dns  作用是哪些域名需要用这个dns服务器来解析
group-policy RAS internal
group-policy RAS attributes
wins-server value 10.10.1.2
dns-server value 10.10.1.2
vpn-tunnel-protocol IPSec l2tp-ipsec svc
split-tunnel-policy tunnelall
default-domain none
split-tunnel-all-dns enable
address-pools value anyconnect-pool
webvpn
  svc ask none default svc
split dns也有配
內網DNS 10.10.1.2 221.228.255.1
這裡的我是不是也要加兩個




本帖最后由 sun329 于 2018-4-11 13:19 编辑
引用:
原帖由 sun329 于 2018-4-11 11:37 发表

group-policy RAS internal
group-policy RAS attributes
wins-server value 10.10.1.2
dns-server value 10.10.1.2
vpn-tunnel-protocol IPSec l2tp-ipsec svc
split-tunnel-policy tunnelall
default-domai ...
那你的网站用的是外网IP还是内网IP



引用:
原帖由 mosquitos 于 2018-4-11 13:34 发表

那你的网站用的是外网IP还是内网IP
我內網訪問網站都是外網ip



引用:
原帖由 sun329 于 2018-4-11 13:37 发表

我內網訪問網站都是外網ip
你的意思是SSL VPN 的客户端 要上外网 全部从ASA 出去?



引用:
原帖由 mosquitos 于 2018-4-11 13:41 发表

你的意思是SSL VPN 的客户端 要上外网 全部从ASA 出去?
對 是的



引用:
原帖由 sun329 于 2018-4-11 13:48 发表

對 是的
那你得在ASA 上做nat



引用:
原帖由 mosquitos 于 2018-4-11 14:02 发表

那你得在ASA 上做nat
access-list anyconnect_s2s extended permit ip VPN-pool 255.255.255.0 object-group DM_INLINE_NETWORK_6
access-list anyconnect_s2s extended permit ip VPN-pool 255.255.255.0 129.185.0.0 255.255.0.0
nat (outside) 0 access-list anyconnect_s2s

NAT我也做了 到內網的不轉換出去 其他都轉換



引用:
原帖由 sun329 于 2018-4-11 14:05 发表

access-list anyconnect_s2s extended permit ip VPN-pool 255.255.255.0 object-group DM_INLINE_NETWORK_6
access-list anyconnect_s2s extended permit ip VPN-pool 255.255.255.0 129.185.0.0 255.255.0.0
na ...
其他是怎么转换的 我看看   还有你这个ASA  的8.x 的?




本帖最后由 mosquitos 于 2018-4-11 14:06 编辑
引用:
原帖由 mosquitos 于 2018-4-11 14:05 发表

其他是怎么转换的 我看看   还有你这个ASA  的8.x 的?
access-list 101 extended permit icmp any any
access-list 101 extended permit ip object-group DM_INLINE_NETWORK_3 any
access-list outside-VPN_cryptomap extended permit ip object-group DM_INLINE_NETWORK_1 object-group DM_INLINE_NETWORK_5
access-list inside_nat0_outbound extended permit ip 10.10.1.0 255.255.255.0 object-group DM_INLINE_NETWORK_2
access-list inside_nat0_outbound extended permit ip 10.10.1.0 255.255.255.0 10.10.2.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.1.0 255.255.255.0 VPN-pool 255.255.255.0
access-list outside-PPOE_access_in extended permit ip object-group DM_INLINE_NETWORK_4 any
access-list inside-DHCP_access_in extended permit icmp any any
access-list inside-DHCP_access_in extended permit ip 10.10.2.0 255.255.255.0 any
access-list inside-DHCP_nat0_outbound extended permit ip 10.10.2.0 255.255.255.0 object-group DM_INLINE_NETWORK_7
access-list inside-DHCP_nat0_outbound extended permit ip 10.10.2.0 255.255.255.0 10.10.1.0 255.255.255.0
access-list inside-DHCP_nat0_outbound extended permit ip 10.10.2.0 255.255.255.0 VPN-pool 255.255.255.0
access-list VPN-encypted-nets standard permit 10.10.1.0 255.255.255.0
access-list VPN-encypted-nets standard permit 10.10.2.0 255.255.255.0
access-list VPN-encypted-nets standard permit 129.185.0.0 255.255.0.0
access-list VPN-encypted-nets standard permit 10.241.52.0 255.255.255.0
access-list anyconnect_s2s extended permit ip VPN-pool 255.255.255.0 object-group DM_INLINE_NETWORK_6
access-list anyconnect_s2s extended permit ip VPN-pool 255.255.255.0 129.185.0.0 255.255.0.0

global (outside) 1 interface
global (outside-VPN) 1 interface
nat (outside) 0 access-list anyconnect_s2s
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
nat (inside-DHCP) 0 access-list inside-DHCP_nat0_outbound
nat (inside-DHCP) 1 0.0.0.0 0.0.0.0




本帖最后由 sun329 于 2018-4-11 14:11 编辑
引用:
原帖由 sun329 于 2018-4-11 14:09 发表

access-list 101 extended permit icmp any any
access-list 101 extended permit ip object-group DM_INLINE_NETWORK_3 any
access-list outside-VPN_cryptomap extended permit ip object-group DM_INLINE_NETW ...
global 也写出来



引用:
原帖由 mosquitos 于 2018-4-11 14:11 发表

global 也写出来
global (outside) 1 interface
global (outside-VPN) 1 interface



引用:
原帖由 sun329 于 2018-4-11 14:09 发表

access-list 101 extended permit icmp any any
access-list 101 extended permit ip object-group DM_INLINE_NETWORK_3 any
access-list outside-VPN_cryptomap extended permit ip object-group DM_INLINE_NETW ...
你这个ASA 的version 有点低  配置NAT  有点不太了解  呵呵  在高版本的 做个outside 到 outside 的 twice nat  就好了



引用:
原帖由 mosquitos 于 2018-4-11 14:16 发表

你这个ASA 的version 有点低  配置NAT  有点不太了解  呵呵  在高版本的 做个outside 到 outside 的 twice nat  就好了
應該怎麼寫



‹‹ 上一贴:求教,cisco路由交换如何抓住一个接口的流量,丢到另一个 ...   |   下一贴:Cisco ASA 5510 如何配置双线接入访问内部WEB服务器 ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2018 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com