我将ASA 5510用于包含多个子网的大型networking,其中一些(无线)networking访问受限。 我希望允许无线用户能够通过VPN进行全面的networking访问,但是内部networking上的任何主机都不能连接到VPN,甚至不能ping通ASA外部接口。
我假设这与我的NAT规则有关。 任何人都可以指向正确的方向吗?
这里是运行configuration(消毒): http : //pastebin.com/snN4AVSA
数据包跟踪从内部到外部: http : //pastebin.com/hX8X8kTr
由于路由,您将无法从networking内部访问您的VPN。
没有运气在这里或在思科论坛上,我仍然坚信这是可能的,但。 噢,无论如何,我最终创build了一个单独的VLAN用于安全的802.1x无线。
我认为实现你想要的最简单的方法就是将你的接入点连接到ASA之外,或者在某种DMZ中。 那么你并没有试图做一些与标准不同的东西 – 例如,让VPN访问安全networking以外的客户端,同时保留不可信的客户端。