一側具有各種子網的 IPsec

我有以下情況：

Client subnet(192.168.0.0 /24) ----> Router ----> Internet ----> 
          ASA(172.17.0.2 /24) ----> 
      (172.17.0.1 /24)Gateway ----> (10.0.0.0 /8)Many subnets 

我需要將客戶端子網邏輯連接到“許多子網”。在左側我有一個 Cisco 2901，在另一側有一個 ASA。我在路由器和 ASA 之間建立了 IPsec 連接。IPsec 連接本身有效，但我無法訪問網關後面的任何地址。IPsec 連接的本地網路是10.0.0.0/8網路。

ASA 不知道它必須通過網關路由流量(172.17.0.1)。我已經在內部介面上設置了一個預設路由，10.0.0.0 255.0.0.0.0 172.17.0.1但這不起作用……

如何告訴 ASA 它必須通過網關路由所有流量？

您需要將“許多子網”添加到受保護的網路中。

路由器應該有 192.168.0.0/24 作為他的受保護網路。ASA 應該有“許多子網”作為他的受保護網路。

此外，除非您選中“不轉換 VPN 流量”，否則您需要在 ASA (172.17.0.2) 中添加 NAT 規則，以便讓 VPN 流量通過 ASA。

如果您需要雙方啟動連接，您的 NAT 規則應該是靜態的。

引用自：https://serverfault.com/questions/492869