服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 这是用于ASA 8.4的远程访问VPN的正确configuration吗?
Intereting Posts
将Hyper-V的Integration Services安装到CentOS-5.x中 Exchange服务器无法连接到远程主机 如何手动排除EC2实例的ELB连接? UEFI pxe启动Ghost for Windows 10部署 我可以使用代理来保护elasticsearch吗? mod_register不能在ejabberd服务器(带内注册)中使用asmack 负载平衡两个Linux Apache服务器 运行命令后停止Docker容器退出 有一个已知的问题,恢复从curl下载从IIS? 如何通过SSH隧道连接到主机 使用SAN为Web内容提供服务的Web服务器集群仍会导致单点故障 如何为某些用户禁用sftp,但保持ssh启用? PHP无法加载dynamic库的库 无法连接到openvpn意外的错误:从Windows Server 2008的untrusted_cert,但确定从Windows 7? WebDAV通过Apache2权限/丢失文件

这是用于ASA 8.4的远程访问VPN的正确configuration吗?

第一次为8.3 / 8.4configuration远程访问VPN,所以NAT和VPN命令对我来说有点不同。

下面是VPNconfiguration和相应的NAT到NAT的IP空间。 如果有人可以看看它,让我知道如果我失去了什么。 networking是192.0.0.0 / 24公顷,不是打字错误。 

crypto ikev1 enable outside crypto ikev1 policy 10 encryption 3des authentication pre-share hash sha access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0 access-list SPLIT-TUNNEL-VPN standard permit 192.0.0.0 255.255.255.0 group-policy REMOTE-VPN-GP internal group-policy REMOTE-VPN-GP attributes vpn-tunnel-protocol ikev1 address-pools value REMOTE-VPN-POOL split-tunnel-policy tunnelspecified split-tunnel-network-list value SPLIT-TUNNEL-VPN dns-server value 192.0.0.201 tunnel-group REMOTE-VPN-TG type remote-access tunnel-group REMOTE-VPN-TG general-attributes default-group-policy REMOTE-VPN-GP authentication-server-group LOCAL tunnel-group REMOTE-VPN-TG ipsec-attributes ikev1 pre-shared-key ********** ip local pool REMOTE-VPN-POOL 192.0.1.1-192.0.1.100 mask 255.255.255.0 crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map OUTSIDE-DYNMAP 65535 set ikev1 transform-set ESP-3DES-SHA crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic OUTSIDE-DYNMAP crypto map OUTSIDE_MAP interface outside

//没有NAT子网 

 object network INSIDE_LAN subnet 192.0.0.0 255.255.255.0 object network VPN_LAN subnet 192.0.1.0 255.255.255.0 nat (inside,outside) source static INSIDE_LAN INSIDE_LAN destination static VPN_LAN VPN_LAN

或者我会为没有这样做: 

 nat (inside,outside) 1 source static any any destination static VPN_LAN VPN_LAN

我的NAT目前设置为: 

 object network LAN_NAT subnet 192.0.0.0 255.255.255.0 nat (inside,outside) dynamic interface

如果192.0.0.0/24是你的内部接口/局域网那么什么是192.0.1.0/24

您已将VPN_LAN的对象名称提供给192.0.1.0/24子网? 但是,您将远程访问VPN地址池定义为10.1.2.140-10.1.2.145 。 分配给客户端VPN适配器的地址范围为10.1.2.140-10.1.2.145

我假定192.0.1.0/24 ,你的内部192.0.0.0/24 ,你的VPN客户端适配器将有从10.1.2.140-10.1.2.145池中取出的IP – 你可能只想使这个10.1.2.0/24 – 但我会继续你现有的池。

您可以使用以下configuration您的内部出站dynamic接口PAT设置。 您可以在LAN_NAT对象中定义dynamic接口PAT时创build另一个LAN_NAT对象 – 它们出现在configuration的两个不同部分(子网定义和对象NAT),但是仍然可以在同一个对象中定义。 

 object network INSIDE_LAN subnet 192.0.0.0 255.255.255.0 nat (inside,outside) dynamic interface

以下是创build的networking对象,表示作为池的IP块。 不重新定义池本身就是ip local pool

 object network RAVPN_POOL subnet 10.1.2.0 255.255.255.0 ! adjust this and pool itself to meet needs

configuration您的身份NAT(无NAT)如下 – 不是在一个对象,但两次NAT。 

 nat (inside,outside) source INSIDE_LAN INSIDE_LAN destination static RAVPN_POOL RAVPN_POOL description [[ Inside to RA Identity NAT ]]

假设我理解你的设置,你可以清除LAN_NATVPN_LAN对象以及SPLIT-TUNNEL-VPN ACL中的192.0.1.0/24条目。 

 no access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0 no object network LAN_NAT no object network VPN_LAN

在P1 / IKE策略中还有一些额外的事情需要考虑 – 当您将P2定义为3DES / SHA时,P1中的3DES / MD5很好,但有点奇怪。