Cisco ASA VPN - 通過主站點的 ISP 路由來自遠端站點的所有 Internet 流量

我有兩個通過站點到站點 VPN 連接的位置的情況。站點 A 有一個 Web 過濾設備。我想通過 VPN 隧道將來自站點 B 的所有流量路由到站點 A 的 Internet 連接（和 Web 過濾器）之外。使用的防火牆設備是 Cisco ASA 5505。站點到站點 VPN 已經建立。

為了完成上述任務，我需要修改什麼？

更改控制隧道策略的 ACL 以允許流量：

站點 A：

access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts
no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts

站點 B：

access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any
no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts

通過此隧道的流量將進入外部介面，被解密，然後直接返回外部介面（我希望這適用於您的網路過濾器！），因此您也需要考慮這一點：

（配置免責聲明：這是 8.2 配置，相應調整）

same-security-traffic permit intra-interface
nat (outside) 1 10.X.X.0 255.255.255.0

有了這個，所有流量都將擷取加密策略，並且隧道將使用 0.0.0.0/0 的本地/遠端網路建構。

testasa# show crypto ipsec sa
interface: outside
   Crypto map tag: outside_map, seq num: 100, local addr: X.X.X.X

     access-list outside_cryptomap_A permit ip any object-group site_b_hosts
     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     remote ident (addr/mask/prot/port): (10.X.X.0/255.255.255.0/0/0)
     current_peer: test-endpoint-public

     #pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719
     #pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626

引用自：https://serverfault.com/questions/320962