我有两个位置通过站点到站点VPN连接的情况。 网站A有一个网页过滤设备。 我想通过VPN隧道将站点B的所有stream量路由到站点A的互联网连接(和网页filter)。 正在使用的防火墙设备是Cisco ASA 5505.站点到站点VPN已经build立。
为了达到上述目的我需要修改什么?
更改控制您的隧道策略的ACL以允许通信:
网站A:
access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts 网站B:
access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts
来自这个隧道的stream量将进入外部界面,被解密,然后直接从外部界面(我希望这可以用于你的网页filter!),所以你也需要解释:
(configuration免责声明:这是8.2configuration,相应调整)
same-security-traffic permit intra-interface nat (outside) 1 10.XX0 255.255.255.0
有了这个,所有stream量都将捕获encryption策略,隧道将使用0.0.0.0/0的本地/远程networking构build。
testasa# show crypto ipsec sa interface: outside Crypto map tag: outside_map, seq num: 100, local addr: XXXX access-list outside_cryptomap_A permit ip any object-group site_b_hosts local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (10.XX0/255.255.255.0/0/0) current_peer: test-endpoint-public #pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719 #pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626
假设站点A的代理服务器是pppp,站点b的本地子网是bbb0 / 24
您需要在站点A上configuration本地encryption域以包含您的代理服务器,并在站点B上configuration远程encryption域以包含您的代理服务器。 您可能还需要更改您的防火墙访问列表以允许stream量也取决于您的configuration。
所以在网站A ASA
access-list site-A-site-B_vpn permit ip host pppp bbb0 255.255.255.0 access-list outside_access_in permit ip bbb0 255.255.255.0 host pppp
和网站B ASA
access-list site-B-site-A_vpn permit ip bbb0 255.255.255.0 host pppp access-list inside_access_in permit ip bbb0 255.255.255.0 host pppp
如果你没有使用明确定义的代理,你将遇到一些困难,因为你将不得不通过你的VPN隧道0.0.0.0/0,通过IPSEC GRE可能是一个更好的select…