请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 2843|回复: 14

求教怎么用拨入sslvpn上去的网络上网?

[复制链接]
发表于 2017-12-22 20:45:27 | 显示全部楼层 |阅读模式
10可用金钱
vpn服务器连接的是内网,但是内网IP是可以上外网的,现在在外网通过SSLVPN拨入内网,怎么使用拨入sslvpn上去的这个内网网络上网?不是指拨入SSLVPN之前的网络上网。求教大家!

最佳答案

查看完整内容

第一步:加载VPN image镜像 webvpn enable outside anyconnect image disk0:/anyconnect-win-4.5.03040-webdeploy-k9.pkg 1 anyconnect enable tunnel-group-list enable 第二步:配置VPN地址池 ip local pool AnyConnect 172.16.0.1-172.16.0.254 mask 255.255.255.0 第三部:因为anyconnect客户端需要从远端访问internet,所以需要配置NAT object network inside subnet 10.0.0.0 255.0.0.0 n ...
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-22 20:45:28 | 显示全部楼层
wb_ww 发表于 2017-12-25 10:16
谢谢,能给举个例子吗?我目前这个SSLVPN地址池是没有接口的,是不是可以把sslvpn的地址池,单独起一个物 ...

第一步:加载VPN image镜像
webvpn        
enable outside
anyconnect image disk0:/anyconnect-win-4.5.03040-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable


第二步:配置VPN地址池
ip local pool AnyConnect 172.16.0.1-172.16.0.254 mask 255.255.255.0

第三部:因为anyconnect客户端需要从远端访问internet,所以需要配置NAT
object network inside
subnet 10.0.0.0 255.0.0.0
  nat (inside,outside) dynamic interface
object network AnyConnect
subnet 172.16.0.0 255.255.255.0

nat (outside,outside) dynamic interface
第四步:配置NAT旁路,anyconnect的加密流量不需要nat转换
nat (inside,outside) source static inside inside destination static anyconnect anyconnect
!
第五步:开启同一端口的流量转发
same-security-traffic permit intra-interface

第六步:配置Group-Policy
group-policy AnyConnect internal
group-policy AnyConnect attributes
dns-server value 114.114.114.114  需要为anyconnect client推送DNS,否则无法解析
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall   所有的流量都需要从tunnel走,不需要隧道分割,此技术叫做U-turning

第七步:配置tunnel-group
tunnel-group AnyConnect type remote-access
tunnel-group AnyConnect general-attributes
address-pool AnyConnect
default-group-policy AnyConnect
tunnel-group AnyConnect webvpn-attributes
group-alias AnyConnect enable

第八步:配置本地用户名和密码,并调用Group-Policy
usernmae vpnuser password cisco123
username vpnuser  attributes
service-type remote-access

vpn-group-policy AnyConnect
标准红色的部分就是使用了U-turning的技术,所有的流量都会送到远端,和我之前写的的anyconnect不太一样的地方。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-24 09:24:48 | 显示全部楼层
隧道分离? 好像有点绕啊,你这个
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-24 13:17:38 | 显示全部楼层
抛开安全的话,技术上是可以实现的:
1,拨入SSLVPN,肯定要获取一个SSLVPN拨入用户地址池内对应的私网IP地址;
2,这个地址段,在局域网内部,需要有路由,才能访问实际的应用(其它网段的IP);
3,如果不打通路由,就需要NAT了,以SSLVPN本身内网接口IP,做为源IP,去访问其它应用;
4,如果这个SSLVPN的内网接口,本身可以访问Internet,SSLVPN设置时不要做隧道分离,且访问的策略是充许访问任意地址;就能实现LZ的需求了;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-24 13:50:34 | 显示全部楼层
请参考这篇配置文档
https://www.cisco.com/c/en/us/su ... -asa-sslvpn-00.html
第一部分AnyConnect VPN Client for Public Internet VPN on a Stick Configuration Example
注意:在group-policy下要定义公网DNS
group-policyclientgroup attributes
dns value 8.8.8.8
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2017-12-25 10:11:14 | 显示全部楼层
13nash 发表于 2017-12-24 09:24
隧道分离? 好像有点绕啊,你这个

不是隧道分离呀!!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2017-12-25 10:16:01 | 显示全部楼层
YilinChen 发表于 2017-12-24 13:17
抛开安全的话,技术上是可以实现的:
1,拨入SSLVPN,肯定要获取一个SSLVPN拨入用户地址池内对应的私网IP地 ...

谢谢,能给举个例子吗?我目前这个SSLVPN地址池是没有接口的,是不是可以把sslvpn的地址池,单独起一个物理接口?然后给他做NAT?或者路由这样吗?
还有安全方面有哪些隐患?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-25 10:35:40 | 显示全部楼层
wb_ww 发表于 2017-12-25 10:16
谢谢,能给举个例子吗?我目前这个SSLVPN地址池是没有接口的,是不是可以把sslvpn的地址池,单独起一个物 ...

原理之前就提到过了,说白了就是VPN和防火墙要分开来看,要让拨入的用户访问其它资源时,源IP地址是 VPN的内网接口IP,主流设备都支持做NAT呀。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-25 10:49:47 | 显示全部楼层
你要保证你vpn上来以后得到的ip地址也是能上网的,要给客户端分配一个有效的DNS,还要在内网给vpn网段上互联网的流量做路由。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-25 13:36:13 | 显示全部楼层
楼主可以参考一下

VPN客户端和AnyConnect访客接入对本地LAN配置示例
https://www.cisco.com/c/zh_cn/su ... al-lan-pix-asa.html

Cisco AnyConnect VPN Client 无法访问用户内网
https://www.cisco.com/c/zh_cn/su ... otaccessinside.html
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-12-17 23:48 , Processed in 0.114161 second(s), 57 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表