Здравствуйте собратья цисководы!
Дано: Cisco ASA 8.4!!!!
У меня тут возник вопрос как организовать VPN подключение AnyConnect удалённых пользователей к офисной LAN(10.1.61.0/24), но и в другие офисные LAN(10.1.10.0/24, 10.1.20.0/24, 10.1.70.0/24), которые подключены к Cisco ASA через VPN соединение Site-to-Site? Чтобы удалённым пользователям виделись другие офисные LAN (ping, и весь протокол IP) и была возможность с помощью туннелирования Split Tunel иметь доступ к сети Интернет, будучи подключенными к VPN AnyConnect.
То бишь чтобы было вот так:
Картинка:
[img]http://i67.fastpic.ru/big/2014/0924/15/74ccac14ea3e0aba13649...На данный момент времени я смогла добиться того, что VPN пользователям доступен Интернет через Split Tunel, видится офисная сеть LAN 10.1.60.0/24, офисные компьютера и сервера LAN 10.1.60.0/24 отлично видятся и пингуются, а также из офисной сети LAN 10.1.60.0/24 возможно увидеть и пропинговать удалённых пользователей VPN AnyConnect.
Пользователи офисной LAN 10.1.61.0/24 с помощью VPN Site-to-Site прекрасно видят (и их тоже видят) другие офисные LAN 10.1.10.0/24, 10.1.20.0/24, 10.1.70.0/24 по протоколу IP.
Основная задача: заставить удалённых пользователей увидеть другие офисные LAN 10.1.10.0/24, 10.1.20.0/24, 10.1.70.0/24, и чтобы пользователи других офисных LAN увидели удалённых пользователей VPN AnyConnect.
Что уже наконфигурено мной:
Интерфейсы:
interface Vlan1
nameif inside
security-level 100
ip address 10.1.60.ХХ4 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address outside_ip 255.255.255.248
Пул IP адресов для удаленных VPN пользователей AnyConnect:
ip local pool RREMOTE_USER_VPN 10.1.60.200-10.1.60.230 mask 255.255.255.0
Существующие NAT для VPN Site-to-Site:
nat (inside,any) source static obj-10.1.60.0 obj-10.1.60.0 destination static obj-10.1.10.0 obj-10.1.10.0 no-proxy-arp route-lookup
nat (inside,any) source static obj-10.1.60.0 obj-10.1.60.0 destination static obj-10.1.20.0 obj-10.1.20.0 no-proxy-arp route-lookup
nat (inside,any) source static obj-10.1.60.0 obj-10.1.60.0 destination static obj-10.1.70.0 obj-10.1.70.0 no-proxy-arp route-lookup
Существующие access-list'ы для VPN Site-to-Site:
access-list SITE_TO_SITE extended permit ip 10.1.60.0 255.255.255.0 10.1.10.0 255.255.255.0
access-list SITE_TO_SITE extended permit ip 10.1.60.0 255.255.255.0 10.1.20.0 255.255.255.0
access-list SITE_TO_SITE extended permit ip 10.1.60.0 255.255.255.0 10.1.70.0 255.255.255.0
А также сделан обычный динамический NAT
object network obj-10.1.61.0
nat (outside,outside) dynamic interface dns
object network obj_any
nat (inside,outside) dynamic obj-0.0.0.0
Сделана следующая групповая политика:
group-policy GroupPolicy_XXX_VPN internal
group-policy GroupPolicy_XXX_VPN attributes
wins-server none
dns-server value 10.1.60.242
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value For-VPN-XXX-Split_Tunel
default-domain value XXXXX.local
split-dns none
split-tunnel-all-dns enable webvpn
anyconnect profiles value IMMA_XXX_client_profile type user
Создан на основе групповой политики туннель для AnyConnect подключений:
tunnel-group XXX_VPN type remote-access
tunnel-group XXX_VPN general-attributes
address-pool RREMOTE_USER_VPN
authentication-server-group AD
default-group-policy GroupPolicy_XXX_VPN
tunnel-group XXX_VPN webvpn-attributes
group-alias XXX_VPN enable
Access-list для Split Tunel
access-list For-VPN-XXX-Split_Tunel standard permit 10.1.60.0 255.255.255.0
access-list For-VPN-XXX-Split_Tunel standard permit 10.1.10.0 255.255.255.0
access-list For-VPN-XXX-Split_Tunel standard permit 10.1.20.0 255.255.255.0
access-list For-VPN-XXX-Split_Tunel standard permit 10.1.70.0 255.255.255.0
Короче, что делать? Если нужны будут какие еще выдержки из конфига ASA я могу предоставить.
ЗЫ. Курсы не кончали пока что, так что учимся по мануалам Cisco и с помощью форумов. Прошу сильно меня не пинать=)
Вариант для распечатки
(ok) on 24-Сен-14, 13:38 
