取消
显示结果 
搜索替代 
您的意思是: 
cancel
3257
查看次数
0
有帮助
2
评论
l8310892118l
Level 1
Level 1
本帖最后由 l8310892118l 于 2019-12-19 07:16 编辑
我们公司使用的是FPR2130(上面其实是ASA的镜像)来搭建SSLVPN,有一天增加了一条VPN用户的下发路由和访问控制之后。连接VPN,发现无法访问内网。
经过几次测试之后发现,通过热点连接SSLVPN没有任何问题,可以正常访问内部资源;通过办公网访问SSLVPN会出现无法访问任何内网资源的情况。我记得之前并没有这个问题呀。因为这个情况并不影响在外使用SSLVPN的员工,所以我们就没有着急,慢慢排查了。
之前架设SSLVPN的时候,为了方便好记,我们统一使用域名登录访问SSLVPN。vpn.abc.com这个域名在万网上解析为FPR2130的出口公网IP,员工在外通过Anyconnect连接vpn.abc.com就可以访问内网资源。而在公司的话可以直接访问内网,不需要连接SSLVPN。但是为了防止有些用户在公司也使用SSLVPN(有可能是脑子夯住了,公司里出现过很多这种人才)特意在内部DNS上将vpn.abc.com映射为SSLVPN的内网口地址。
有同仁可能就问了,为什么我们还要在内部DNS上做解析,直接使用在公网做的域名解析不就行了。这个问题很好,原先在我们公司搬家之前,确实是这么用的。但那是因为我们出口防火墙(Juniper SSG550)可以做双向NAT,不会出现所问非所答的问题。现在的出口设备是负载均衡(Redware),不支持 或者说 代理商原来没做过双向NAT,而且设备调试过程中,还出现了很多狗血问题,所以就没有再要求。
好了,回到原题,为什么使用内部DNS解析的vpn.abc.com登录SSLVPN就无法访问内部资源,这个问题开始让我们很疑惑,并且特意排查了内网核心防火墙的策略(FPR2130内网接口连接核心防火墙)。发现没有任何问题,这让我们开始怀疑FPR2130的配置是不是有些问题了。经过了一系列的思考(有点夸张),最终得出结论,内部用户访问SSLVPN,会出现用户流量从同一个接口进入和离开防火墙的情况,相当于一个Hub-and-Spoke VPN环境。默认情况下这种流量是不被允许的,如果需要激活intra-interface之间的通讯,需要配置same-security-traffic permit intra-interface
明明之前内网访问VPN也没有任何问题呀,我记得配置过这条命令呀。经过一系列的思考,最终得出结论,可能是我没保存配置。。。。。。
一时save,一时爽,一直save,一直爽。(Tips:请不要纠正我write才是保存命令,我只是为了顺嘴)
就是这么个情况,各位见笑,一切为了台历:lol
评论
one-time
Level 13
Level 13
感谢楼主分享,谢谢~
恭喜您获得#2019倒计时#年末回顾梳理,分享赢定制台历活动奖励 - 2020定制台历一本!
abletabliz3955
Spotlight
Spotlight
我之前也是有次没保存 差点糗大了
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接