取消
显示结果 
搜索替代 
您的意思是: 
cancel
6456
查看次数
8
有帮助
8
回复

anyconnect访问IDC机房服务器

jia-yupeng
Level 1
Level 1
需求介绍:
用户在IDC机房有服务器(对外提供域名访问)对外提供访问,BJ在office出去上网使用固定的公网地址,IDC入口加了白名单只允许office 上网的固定地址去访问该服务,
现在异地anyconnect用户播VPN上来,获取一个内网地址,也需要去访问该公网服务,理解就是anyconnect也需要nat出去上网也需要nat成office的固定公网地址,才能进行访问,而不是走本地出去访问外网,想问下这个需求需要怎么做,做了dns解析和隧道分离,没实现。

配置如下:
access-list B3-VpnNatACL extended permit ip host 114.114.114.114 172.16.66.0 255.255.255.0
access-list B3-VpnNatACL extended permit ip host 8.8.8.8 172.16.66.0 255.255.255.0
access-list B3-SplitACL standard permit host xxxx(IDC公网ip)
ip local pool B3-VpnPool 172.16.66.10-172.16.66.120 mask 255.255.255.0
nat (inside) 1 172.16.66.0 255.255.255.0---针对anyconnect地址做转换
group-policy webvpn-B3 internal
group-policy webvpn-B3 attributes
dns-server value 114.114.114.114 8.8.8.8
vpn-simultaneous-logins 50
vpn-idle-timeout 5
vpn-session-timeout 180
vpn-filter value webvpn-B3
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value B3-SplitACL
address-pools value B3-VpnPool
8 条回复8

ilay
VIP
VIP
本帖最后由 gengchunlin 于 2018-10-25 10:26 编辑
看你的描述应该是nat和sslvpn都在一台设备上。这样需要考虑三个点
1、为inside-->VPN的流量做nat豁免 //如果没有remote访问office区域的需求可不做这一步
2、为vpn的地址在asa上做nat/pat
3、同区域流量进出的问题
ps:测试环境为9.x 你的环境应该在8.4版本以下,我尽可能写出对应的命令,但不一定完全准确,接触8.x的版本不太多。
1、做nat豁免
#9.x
object network VPN-IPADDR
subnet 172.16.1.0 255.255.255.0
object network LOCAL-IPADDR
subnet 10.0.0.0 255.0.0.0
nat (inside,outside) source static LOCAL-IPADDR LOCAL-IPADDR destination static VPN-IPADDR VPN-IPADDR
#8.x
access-list sslvpn_nat_0 extended permit ip 10.0.0.0 255.0.0.0 172.16.1.0 255.255.255.0
nat (inside) 0 access-list sslvpn_nat_0
2、为vpn流量做nat
#9.x
object network VPN
subnet 172.16.1.0 255.255.255.0
!
object network VPN
nat (outside,outside) dynamic 22.1.1.12 // 写interface写静态IP均可
#8.x
nat (outside) 1 172.16.66.0 255.255.255.0 // vpn是从outside拨入,nat 是outside--outside
3、8.x/9.x same-security-traffic permit intra-interface
这样应该就可以了。
附一张实验拓扑
101013lj5308u2110qe3k9.jpg
102553uzggkl1cs3ssgcsm.jpg

jia-yupeng
Level 1
Level 1
gengchunlin 发表于 2018-10-25 10:10
看你的描述应该是nat和sslvpn都在一台设备上。这样需要考虑三个点
1、为inside-->VPN的流量做nat豁免 //如 ...

是的,环境如您所描述,nat和ssl vpn在同一个ASA上,
回复2:
为VPN流量做了pool 地址池的NAT,
nat (outside) 1 172.16.66.0 255.255.255.0
回复3:
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
测试访问还是不行,acl这一块需要针对anyconnect的pool地址做什么策略吗

ilay
VIP
VIP
jia-yupeng 发表于 2018-10-25 12:36
是的,环境如您所描述,nat和ssl vpn在同一个ASA上,
回复2:
为VPN流量做了pool 地址池的NAT,

应该不用调整acl
有两个点忘了提
1、B3-VpnNatACL 有没有做调用
2、是否新定义了tunnel-group ,如果没有建议新定义一个tunnel-group
SecASA(config)# sh run webvpn
webvpn
enable outside
enable inside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00061-k9.pkg 1
anyconnect enable
tunnel-group-list enable
SecASA(config)# sh run tunnel-group
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool vpn-pool
default-group-policy SSLVPN
tunnel-group SSLVPN webvpn-attributes
group-alias sslvpn enable
SecASA(config)# sh run group-policy
group-policy SSLVPN internal
group-policy SSLVPN attributes
dns-server value 10.1.20.7
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
address-pools value vpn-pool
SecASA(config)#

wuhao0015
Spotlight
Spotlight
做隧道分离vpn下发服务器的路由了嘛??

jia-yupeng
Level 1
Level 1
gengchunlin 发表于 2018-10-25 13:38
应该不用调整acl
有两个点忘了提
1、B3-VpnNatACL 有没有做调用

1.B3-VpnNatACL做了调用
nat (inside) 0 access-list B3-VpnNatACL
2.定义了tunne-group,
tunnel-group group-B3 type remote-access
tunnel-group group-B3 general-attributes
default-group-policy webvpn-B3
tunnel-group group-B3 webvpn-attributes
group-alias group-B3 enable
3.group-policy配置如下:
ASA01# sh running-config group-policy
group-policy webvpn-B3 internal
group-policy webvpn-B3 attributes
vpn-simultaneous-logins 50
vpn-idle-timeout 5
vpn-session-timeout 180
vpn-filter value webvpn-B3
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value B3-SplitACL
address-pools value B3-VpnPool
4.隧道分离下发服务器的路由已配置:
access-list B3-SplitACL standard permit host 47.x.x.x
access-list anyconnect-ACL extended permit ip 172.16.66.0 255.255.255.0 host 47.x.x.x
nat (outside2) 1 access-list anyconnect-ACL
global (outside2) 1 192.168.10.7 netmask 255.255.255.255
测试已经获得路由:
数据包已经发出,但是在outside接口查看不到172.16.66.0/24的nat表项
设备版本:

不知道这个版本是否支持outside方向到outside方向的Nat,还是配置上有点问题,看不到nat表项,
请帮忙看下

jia-yupeng
Level 1
Level 1
wuhao0015 发表于 2018-11-1 10:29
做隧道分离vpn下发服务器的路由了嘛??

做了隧道分离路由:
access-list B3-SplitACL standard permit host 47.x.x.x
access-list anyconnect-ACL extended permit ip 172.16.66.0 255.255.255.0 host 47.x.x.x
nat (outside2) 1 access-list anyconnect-ACL
global (outside2) 1 192.168.10.7 netmask 255.255.255.255

ilay
VIP
VIP
jia-yupeng 发表于 2019-1-9 17:43
1.B3-VpnNatACL做了调用
nat (inside) 0 access-list B3-VpnNatACL
2.定义了tunne-group,

你把nat 0去掉吧?貌似没有什么特殊作用,114/8 这两个地址做不做转换感觉意义不大
nat (outside2) 1 直接写ip地址试试
nat (outside2) 1 172.16.66.0 255.255.255.0
还有same-security-traffic permit intra-interface
8.4之下的版本没有过多接触过,目前也没找到合适的测试机,感觉应该是支持同区域nat的。

jia-yupeng
Level 1
Level 1
gengchunlin 发表于 2019-1-9 18:50
你把nat 0去掉吧?貌似没有什么特殊作用,114/8 这两个地址做不做转换感觉意义不大
nat (outside2) 1 直 ...

nat 0是通过的流量不做nat,anyconnect拨上来需要访问部分内网资源,因此加的nat赦免;
修改为nat (outside2) 1 172.16.66.0 255.255.255.0,测试访问还是打不开,看不到针对anyconnect的nat表项
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
同区域互访已经enable;
当前版本是 8.2(1),
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接