Vpn

ASA VPN :: 為什麼在專用網路上阻止數據包?

  • August 5, 2010

已通過 VPN 客戶端成功連接到我的 ASA。

設置:ASA >> Switch >> 2 CentOS Linux 伺服器

當我打開本地終端 (OSX) 時,我可以在 (192.168.0.1) 上 ping 內部介面,但不能在偵聽 192.168.0.2~254 的伺服器內部

內部伺服器可以互相ping通,也可以ping通192.168.0.1

似乎對 server-on-inside-IP 的 VPN ping 請求正在 Linux 機器的公共介面上發回(網關設置為公共,而不是私有)

絕不是專家系統管理員,我嘗試在伺服器專用介面上設置網關並做了“服務網路重啟”——沒有骰子,看起來 Linux 不喜歡多個網關?

無論如何,VPN連接並可以訪問內部網路會很好;然後我可以阻止除 Web 服務和僅通過 VPN 的 SSH 之外的所有流量。

必須是一種方法來做到這一點,想法讚賞

我是否理解 Linux 機器有兩個 NIC——一個連接到 Internet 並使用公共 IP 地址,另一個連接到 LAN 與 ASA?

假設是這種情況,聽起來您只需要在所有 Linux 電腦上設置一個靜態路由,即可將源自 VPN 子網的流量路由回 ASA 而不是預設網關。根據您的 Linux 發行版,添加靜態路由並使其在引導過程中保持不變的方法會有所不同,但您可以通過“手動”添加路由並查看它是如何工作的來相當容易地測試它。例如route add -net a.a.a.a netmask b.b.b.b gw c.c.c.c,aaaa 是 VPN 子網的網路 ID,bbbb 是 VPN 子網的子網遮罩,cccc 是 ASA 的地址。假設 ASA 與 Linux 機器上的一個 NIC 位於同一子網中,則 Linux 設備將在連接到 ASA 子網的 NIC 上發送對 VPN IP 地址的響應。

引用自:https://serverfault.com/questions/167599