這是適用於 ASA 8.4 的遠端訪問 VPN 的正確配置嗎?
第一次為 8.3 / 8.4 配置遠端訪問 VPN,所以 NAT 和 VPN 命令對我來說有點不同。
下面是 VPN 配置和對應的 NAT 到 NO NAT IP 空間。如果有人可以查看它並讓我知道我是否遺漏了什麼。網路是 192.0.0.0 / 24 ha,不是錯字。
crypto ikev1 enable outside crypto ikev1 policy 10 encryption 3des authentication pre-share hash sha access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0 access-list SPLIT-TUNNEL-VPN standard permit 192.0.0.0 255.255.255.0 group-policy REMOTE-VPN-GP internal group-policy REMOTE-VPN-GP attributes vpn-tunnel-protocol ikev1 address-pools value REMOTE-VPN-POOL split-tunnel-policy tunnelspecified split-tunnel-network-list value SPLIT-TUNNEL-VPN dns-server value 192.0.0.201 tunnel-group REMOTE-VPN-TG type remote-access tunnel-group REMOTE-VPN-TG general-attributes default-group-policy REMOTE-VPN-GP authentication-server-group LOCAL tunnel-group REMOTE-VPN-TG ipsec-attributes ikev1 pre-shared-key ********** ip local pool REMOTE-VPN-POOL 192.0.1.1-192.0.1.100 mask 255.255.255.0 crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map OUTSIDE-DYNMAP 65535 set ikev1 transform-set ESP-3DES-SHA crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic OUTSIDE-DYNMAP crypto map OUTSIDE_MAP interface outside
//無NAT子網
object network INSIDE_LAN subnet 192.0.0.0 255.255.255.0 object network VPN_LAN subnet 192.0.1.0 255.255.255.0 nat (inside,outside) source static INSIDE_LAN INSIDE_LAN destination static VPN_LAN VPN_LAN
還是我會為 no nat 這樣做:
nat (inside,outside) 1 source static any any destination static VPN_LAN VPN_LAN
我的 NAT 目前設置為:
object network LAN_NAT subnet 192.0.0.0 255.255.255.0 nat (inside,outside) dynamic interface
如果
192.0.0.0/24
是您的內部介面/LAN,那麼是什麼192.0.1.0/24
?
VPN_LAN
您已經給192.0.1.0/24
子網的對象名稱了嗎?但是,您將遠端訪問 VPN 地址池定義為10.1.2.140-10.1.2.145
. 分配給客戶端 VPN 適配器的地址將在10.1.2.140-10.1.2.145
.我將假設這
192.0.1.0/24
不是必需的,並且您的內部是192.0.0.0/24
並且您的 VPN 客戶端適配器將從10.1.2.140-10.1.2.145
池中提取 IP - 您可能只想製作這個 10.1.2.0/24 - 但是我將繼續使用您現有的池.您可以使用以下內容配置內部出站動態介面 PAT 設置。
LAN_NAT
當您可以在對像中定義動態介面 PAT 時,您已經創建了另一個對象INSIDE_LAN
——它們出現在配置的兩個不同部分(子網定義和對象 NAT)中,但仍然(並且可以)在同一個對像中定義。object network INSIDE_LAN subnet 192.0.0.0 255.255.255.0 nat (inside,outside) dynamic interface
下面是一個創建的網路對象,它代表作為池的 IP 塊。不按原樣重新定義池本身
ip local pool
。object network RAVPN_POOL subnet 10.1.2.0 255.255.255.0 ! adjust this and pool itself to meet needs
如下配置您的身份 NAT(無 nat)——不是在對像中,而是兩次 NAT。
nat (inside,outside) source INSIDE_LAN INSIDE_LAN destination static RAVPN_POOL RAVPN_POOL description [[ Inside to RA Identity NAT ]]
假設我了解您的設置,您就可以擺脫ACL中的
LAN_NAT
andVPN_LAN
對象和192.0.1.0/24
條目。SPLIT-TUNNEL-VPN
no access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0 no object network LAN_NAT no object network VPN_LAN
在您的 P1/IKE 策略中還需要考慮一些額外的事情——當您將 P2 定義為 3DES/SHA 時,P1 中的 3DES/MD5 很好,但有點奇怪。