请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 376|回复: 4

anyconnect访问IDC机房服务器

[复制链接]
发表于 2018-10-24 14:41:20 | 显示全部楼层 |阅读模式
0可用金钱
需求介绍:
用户在IDC机房有服务器(对外提供域名访问)对外提供访问,BJ在office出去上网使用固定的公网地址,IDC入口加了白名单只允许office 上网的固定地址去访问该服务,
现在异地anyconnect用户播VPN上来,获取一个内网地址,也需要去访问该公网服务,理解就是anyconnect也需要nat出去上网也需要nat成office的固定公网地址,才能进行访问,而不是走本地出去访问外网,想问下这个需求需要怎么做,做了dns解析和隧道分离,没实现。

配置如下:
access-list B3-VpnNatACL extended permit ip host 114.114.114.114 172.16.66.0 255.255.255.0
access-list B3-VpnNatACL extended permit ip host 8.8.8.8 172.16.66.0 255.255.255.0

access-list B3-SplitACL standard permit host xxxx(IDC公网ip)

ip local pool B3-VpnPool 172.16.66.10-172.16.66.120 mask 255.255.255.0
nat (inside) 1 172.16.66.0 255.255.255.0---针对anyconnect地址做转换
group-policy webvpn-B3 internal
group-policy webvpn-B3 attributes
dns-server value 114.114.114.114 8.8.8.8
vpn-simultaneous-logins 50
vpn-idle-timeout 5
vpn-session-timeout 180
vpn-filter value webvpn-B3
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value B3-SplitACL
address-pools value B3-VpnPool








  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-25 10:10:49 | 显示全部楼层
本帖最后由 gengchunlin 于 2018-10-25 10:26 编辑

看你的描述应该是nat和sslvpn都在一台设备上。这样需要考虑三个点
1、为inside-->VPN的流量做nat豁免 //如果没有remote访问office区域的需求可不做这一步
2、为vpn的地址在asa上做nat/pat
3、同区域流量进出的问题

ps:测试环境为9.x 你的环境应该在8.4版本以下,我尽可能写出对应的命令,但不一定完全准确,接触8.x的版本不太多。
1、做nat豁免
#9.x
object network VPN-IPADDR
subnet 172.16.1.0 255.255.255.0
object network LOCAL-IPADDR
subnet 10.0.0.0 255.0.0.0

nat (inside,outside) source static LOCAL-IPADDR LOCAL-IPADDR destination static VPN-IPADDR VPN-IPADDR
#8.x
access-list sslvpn_nat_0 extended permit ip 10.0.0.0 255.0.0.0 172.16.1.0 255.255.255.0
nat (inside) 0 access-list sslvpn_nat_0
2、为vpn流量做nat
#9.x
object network VPN
subnet 172.16.1.0 255.255.255.0

!
object network VPN
nat (outside,outside) dynamic 22.1.1.12  // 写interface写静态IP均可

#8.x
nat (outside) 1 172.16.66.0 255.255.255.0 // vpn是从outside拨入,nat 是outside--outside
3、8.x/9.x  same-security-traffic permit intra-interface
这样应该就可以了。
附一张实验拓扑


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (1 评价)
 楼主| 发表于 2018-10-25 12:36:36 | 显示全部楼层
gengchunlin 发表于 2018-10-25 10:10
看你的描述应该是nat和sslvpn都在一台设备上。这样需要考虑三个点
1、为inside-->VPN的流量做nat豁免 //如 ...

是的,环境如您所描述,nat和ssl vpn在同一个ASA上,
回复2:
为VPN流量做了pool 地址池的NAT,
nat (outside) 1 172.16.66.0 255.255.255.0
回复3:
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
测试访问还是不行,acl这一块需要针对anyconnect的pool地址做什么策略吗
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-25 13:38:09 | 显示全部楼层
jia-yupeng 发表于 2018-10-25 12:36
是的,环境如您所描述,nat和ssl vpn在同一个ASA上,
回复2:
为VPN流量做了pool 地址池的NAT,

应该不用调整acl
有两个点忘了提
1、B3-VpnNatACL 有没有做调用
2、是否新定义了tunnel-group ,如果没有建议新定义一个tunnel-group
SecASA(config)# sh run webvpn
webvpn
enable outside
enable inside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00061-k9.pkg 1
anyconnect enable
tunnel-group-list enable
SecASA(config)# sh run tunnel-group
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool vpn-pool
default-group-policy SSLVPN
tunnel-group SSLVPN webvpn-attributes
group-alias sslvpn enable
SecASA(config)# sh run group-policy
group-policy SSLVPN internal
group-policy SSLVPN attributes
dns-server value 10.1.20.7
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
address-pools value vpn-pool
SecASA(config)#
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-11-1 10:29:59 | 显示全部楼层
做隧道分离vpn下发服务器的路由了嘛??
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-11-16 10:02 , Processed in 0.095759 second(s), 39 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表