Cisco

Cisco ASA5505 VPN 遠端訪問使用者無法連接到其他站點到站點子網

  • July 18, 2012

我正在使用 L2TP VPN 從家裡連接到總部的 ASA5505。

然後,總部通過站點到站點 IPSEC 隧道連接到另一個辦公室。

在總部 (192.168.100.0/24) 時,我可以 ping/訪問遠端辦公室 (192.168.200.0/24) 好。

當遠端連接到總部時,我可以從 Road-warrior 筆記型電腦 ping/訪問總部 OK。

我的問題是,當從家遠端連接到總部時,我無法 ping/訪問其他辦公室子網

在家用筆記型電腦上,L2TP VPN 連接設置為使用總部作為網際網路網關將所有流量路由到 VPN 連接,我可以確認這是有效的。

由於我的策略不允許並且不確定如何在 ASA 上正確啟用此功能,我無法執行 traceroute(我得到超時)。

任何想法有什麼問題,配置如下:

names
name 192.168.200.0 othersite
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 34.35.36.3 255.255.255.252
!
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0
access-list inside_nat0_outbound extended permit ip any 192.168.100.0 255.255.255.0
access-list outside_1_cryptomap extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0
access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.100.0 255.255.255.0
access-list outside_in_acl extended permit icmp any any echo-reply
access-list outside_in_acl extended permit tcp any interface outside eq smtp
ip local pool VPNLAN 192.168.100.210-192.168.100.240 mask 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 192.168.100.0 255.255.255.0
nat (outside) 1 192.168.100.0 255.255.255.0
static (inside,outside) tcp interface smtp 192.168.100.3 smtp netmask 255.255.255.255
access-group outside_in_acl in interface outside
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 192.168.100.3
vpn-tunnel-protocol l2tp-ipsec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl_1
tunnel-group DefaultRAGroup general-attributes
address-pool VPNLAN
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
tunnel-group 40.35.36.122 type ipsec-l2l
tunnel-group 40.35.36.122 ipsec-attributes
pre-shared-key *****

您的拆分隧道 ACL 應包含其他站點的 IP 地址,因為該流量應由客戶端通過 VPN 發送。

access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.200.0 255.255.255.0

配置看起來不錯,否則。如果這沒有幫助,那麼打開 ASA 的日誌記錄,看看當您嘗試發送流量時會出現什麼情況。

引用自:https://serverfault.com/questions/408548