我在两台ASA 5505之间build立了一个标准站点到站点VPN(使用ASDM中的向导),并使VPN在直接连接的LAN上站点A和站点B之间的通信正常工作。
但是这个VPN实际上是用于源自局域网子网的数据,这些子网距离直接连接的局域网一跳。 所以实际上有另一个路由器连接到每个ASA(LAN侧),然后路由到两个完全不同的LAN范围,客户端和服务器驻留在那里。
目前,任何到达ASA的stream量都不是直接连接到局域网,而是直接发送到默认网关,而不是通过VPN。
我已经尝试将附加的子网添加到VPN上的“受保护的networking”,但是没有任何效果。 我也尝试添加一个静态路由到每个ASA尝试将stream量指向另一端,但是这再次没有奏效。
这是一个网站的configuration。 这适用于完美的192.168.144.x子网的stream量。 我需要的是能够将stream量从10.1.0.0/24路由到10.2.0.0/24例如。
ASA Version 8.0(3) ! hostname Site1 enable password **** encrypted names name 192.168.144.4 Site2 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.144.2 255.255.255.252 ! interface Vlan2 nameif outside security-level 0 ip address 10.78.254.70 255.255.255.252 (this is a private WAN circuit) ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! passwd ****** encrypted ftp mode passive access-list inside_access_in extended permit ip any any access-list outside_access_in extended permit icmp any any echo-reply access-list outside_1_cryptomap extended permit ip 192.168.144.0 255.255.255.252 Site2 255.255.255.252 access-list inside_nat0_outbound extended permit ip 192.168.144.0 255.255.255.252 Site2 255.255.255.252 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-603.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 access-group inside_access_in in interface inside access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 10.78.254.69 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL http server enable http 0.0.0.0 0.0.0.0 outside http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 1 match address outside_1_cryptomap crypto map outside_map 1 set pfs crypto map outside_map 1 set peer 10.78.254.66 crypto map outside_map 1 set transform-set ESP-3DES-SHA crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 no crypto isakmp nat-traversal telnet timeout 5 ssh 0.0.0.0 0.0.0.0 outside ssh timeout 5 console timeout 0 management-access inside threat-detection basic-threat threat-detection statistics port threat-detection statistics protocol threat-detection statistics access-list group-policy DfltGrpPolicy attributes vpn-idle-timeout none username enadmin password ***** encrypted privilege 15 tunnel-group 10.78.254.66 type ipsec-l2l tunnel-group 10.78.254.66 ipsec-attributes pre-shared-key * ! ! prompt hostname context encryption地图访问列表(outside_1_cryptomap)只会匹配直接的子网stream量。 您可能需要在此访问列表中添加更多条目以匹配应该穿越隧道的其他子网。 如果你想支持任何networking的一方到另一方的任何networking,你可能会发现更容易声明一些networking对象组,然后让你的访问列表读取如下:
对象组site1_nets networking对象192.168.144.0 255.255.255.252 networking对象10.1.0.0 255.255.255.0 对象组site2_nets networking对象192.168.145.0 255.255.255.252 networking对象10.2.0.0 255.255.255.0 访问列表outside_1_cryptomap扩展许可ip对象组site1_nets对象组site2_nets
nat 0访问列表(inside_nat0_outbound)也不匹配来自其他子网的stream量,因此ASA会将IP地址转换为您的外部WAN地址。
访问列表inside_nat0_outbound扩展许可ip对象组site1_nets对象组site2_nets
我不是100%正面,这第二个变化是必要的; 尝试第一个,并testing,看看你是否需要它。