CISCO ASA 5510 VPN 要怎麼從同一網卡進出？

cisco asa vpn 防火牆 cisco

ShaoM 2017-06-28 10:37:55 ‧ 8756 瀏覽

分享至

各位大大好：

我目前連線的方式是從A網路vpn連線至CISCO ASA 5510，然後遠端桌面至server後才能透過B網路上網，
我要如何讓A網路的vpn直接再從A網路出去，不用再連到server，
我在網路查了許久，但我都不是懂，只好厚著臉皮來問，
我有在ASDM中的Command Line Interface中
下了 same-security-traffic permit inter-interface指令，
但仍無法照我想的這樣，請問該如何設定呢？

應該說，我只是想利用CISCO ASA這台防火牆的固定IP讓我當跳板，
以手機連vpn至防火牆，再以這個固定IP去連特定的網站。 (沒有想要連到內部server)

看更多先前的討論...收起先前的討論...

msnman iT邦研究生 1 級 ‧ 2017-06-28 11:00:28 檢舉

VPN取得的IP跟gateway。
另外asa5510上有設定NAT嗎？

丹尼 iT邦研究生 4 級 ‧ 2017-06-28 11:00:53 檢舉

先查看看那台SERVER上面有多少服務吧

ShaoM iT邦新手 5 級 ‧ 2017-06-28 11:11:45 檢舉

回msnman 大：連上後配得的ip是192.168.250.11，手機連vpn看不到gateway的資料…目前nat是設定
inside 192.168.100.10
inside2 192.168.200.10
inside3 192.168.250.10

回馬克懶得下床大：目前就是不想經過Server，那個server有web service，但沒有對外服務

msnman iT邦研究生 1 級 ‧ 2017-06-28 11:59:41 檢舉

你取得的gateway決定你從那個出口上internet，所以需要知道你的gateway。
所以，你cisco asa5510上是有設定三個網段的NAT？
你的VPNserver是192.168.250.10？
NAT應該是以網段表示，所以你的三個網段是怎麼來的？

ShaoM iT邦新手 5 級 ‧ 2017-06-28 14:32:42 檢舉

回msnman 大：
我不確定VPNserver的ip是否就是192.168.250.10耶…
啊，我想我應該是讓人會錯意了，完全沒有需要連到後面的server，
我vpn 伺服器是使用cisco asa內建的vpn功能，
目前我是用手機直接vpn連110.0.0.1 此防火牆的固定IP (請原諒我沒有貼出真實固定ip)，連上vpn後，看到配得的ip是192.168.250.11。

我完全不想要連到後面的server，我只是想要利用防火牆當跳板，vpn到那防火牆後，直接以那固定ip去上網。

我用show running config 貼出部份設定請您參考一下，因為我網路概念不是很懂，剛也查了一下，不知以下這樣回答你是不是你要知道的：

ip local pool VpnClientNAT2 192.168.250.11-192.168.250.20 mask 255.255.255.0

=======中略==========

interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0
ipv6 address iniside_v6/56
ipv6 enable
!
interface Ethernet0/2
nameif inside2
security-level 100
ip address 192.168.200.1 255.255.255.0
!
interface Ethernet0/3
nameif inside3
security-level 100
ip address 192.168.250.1 255.255.255.0

=======中略==========

dns domain-lookup outside
dns domain-lookup inside
dns domain-lookup inside2
dns domain-lookup inside3
dns server-group DefaultDNS
name-server 168.95.1.1
domain-name 168.95.1.1

=======中略==========
nat (inside3,outside) source static any any destination static obj-192.168.250.0 obj-192.168.250.0 no-proxy-arp route-lookup
nat (inside3,inside) source static any any destination static obj-192.168.250.0 obj-192.168.250.0 no-proxy-arp route-lookup
nat (inside3,inside2) source static any any destination static obj-192.168.250.0 obj-192.168.250.0 no-proxy-arp route-lookup
nat (inside3,inside3) source static any any destination static obj-192.168.250.0 obj-192.168.250.0 no-proxy-arp route-lookup

msnman iT邦研究生 1 級 ‧ 2017-06-28 15:15:07 檢舉

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100936-asa8x-split-tunnel-anyconnect-config.html

http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/119006-configure-anyconnect-00.html

Introduction
This document provides step-by-step instructions on how to allow Cisco AnyConnect VPN client access to the Internet while they are tunneled into a Cisco Adaptive Security Appliance (ASA) 8.0.2. This configuration allows the client secure access to corporate resources via SSL while giving unsecured access to the Internet using split tunneling.

看來問題是出在ASA5510上，你需要做enable split tunneling。

ShaoM iT邦新手 5 級 ‧ 2017-06-28 16:52:24 檢舉

回msnman 大：
我試了 119006-configure-anyconnect-00.html 這個方法，但因為我沒有買該功能，所以我只能試IPsec (IKEv1) Remote Access VPN Wizard，
發現試完後手機確實vpn連上了，也可以上網，但ip卻不是以該防火牆的固定ip，
無法達到我要的方式…另一招我有小試一下，但試不出來…

登入發表討論