Networking

Cisco ASA VPN - 通過主站點的 ISP 路由來自遠端站點的所有 Internet 流量

  • April 23, 2015

我有兩個通過站點到站點 VPN 連接的位置的情況。站點 A 有一個 Web 過濾設備。我想通過 VPN 隧道將來自站點 B 的所有流量路由到站點 A 的 Internet 連接(和 Web 過濾器)之外。使用的防火牆設備是 Cisco ASA 5505。站點到站點 VPN 已經建立。

為了完成上述任務,我需要修改什麼?

更改控制隧道策略的 ACL 以允許流量:

站點 A:

access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts
no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts

站點 B:

access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any
no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts

通過此隧道的流量將進入外部介面,被解密,然後直接返回外部介面(我希望這適用於您的網路過濾器!),因此您也需要考慮這一點:

(配置免責聲明:這是 8.2 配置,相應調整)

same-security-traffic permit intra-interface
nat (outside) 1 10.X.X.0 255.255.255.0

有了這個,所有流量都將擷取加密策略,並且隧道將使用 0.0.0.0/0 的本地/遠端網路建構。

testasa# show crypto ipsec sa
interface: outside
   Crypto map tag: outside_map, seq num: 100, local addr: X.X.X.X

     access-list outside_cryptomap_A permit ip any object-group site_b_hosts
     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     remote ident (addr/mask/prot/port): (10.X.X.0/255.255.255.0/0/0)
     current_peer: test-endpoint-public

     #pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719
     #pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626

引用自:https://serverfault.com/questions/320962