请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 1925|回复: 8

anyconnect访问IDC机房服务器

[复制链接]
发表于 2018-10-24 14:41:20 | 显示全部楼层 |阅读模式
0可用金钱
需求介绍:
用户在IDC机房有服务器(对外提供域名访问)对外提供访问,BJ在office出去上网使用固定的公网地址,IDC入口加了白名单只允许office 上网的固定地址去访问该服务,
现在异地anyconnect用户播VPN上来,获取一个内网地址,也需要去访问该公网服务,理解就是anyconnect也需要nat出去上网也需要nat成office的固定公网地址,才能进行访问,而不是走本地出去访问外网,想问下这个需求需要怎么做,做了dns解析和隧道分离,没实现。

配置如下:
access-list B3-VpnNatACL extended permit ip host 114.114.114.114 172.16.66.0 255.255.255.0
access-list B3-VpnNatACL extended permit ip host 8.8.8.8 172.16.66.0 255.255.255.0

access-list B3-SplitACL standard permit host xxxx(IDC公网ip)

ip local pool B3-VpnPool 172.16.66.10-172.16.66.120 mask 255.255.255.0
nat (inside) 1 172.16.66.0 255.255.255.0---针对anyconnect地址做转换
group-policy webvpn-B3 internal
group-policy webvpn-B3 attributes
dns-server value 114.114.114.114 8.8.8.8
vpn-simultaneous-logins 50
vpn-idle-timeout 5
vpn-session-timeout 180
vpn-filter value webvpn-B3
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value B3-SplitACL
address-pools value B3-VpnPool








  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-25 10:10:49 | 显示全部楼层
本帖最后由 gengchunlin 于 2018-10-25 10:26 编辑

看你的描述应该是nat和sslvpn都在一台设备上。这样需要考虑三个点
1、为inside-->VPN的流量做nat豁免 //如果没有remote访问office区域的需求可不做这一步
2、为vpn的地址在asa上做nat/pat
3、同区域流量进出的问题

ps:测试环境为9.x 你的环境应该在8.4版本以下,我尽可能写出对应的命令,但不一定完全准确,接触8.x的版本不太多。
1、做nat豁免
#9.x
object network VPN-IPADDR
subnet 172.16.1.0 255.255.255.0
object network LOCAL-IPADDR
subnet 10.0.0.0 255.0.0.0

nat (inside,outside) source static LOCAL-IPADDR LOCAL-IPADDR destination static VPN-IPADDR VPN-IPADDR
#8.x
access-list sslvpn_nat_0 extended permit ip 10.0.0.0 255.0.0.0 172.16.1.0 255.255.255.0
nat (inside) 0 access-list sslvpn_nat_0
2、为vpn流量做nat
#9.x
object network VPN
subnet 172.16.1.0 255.255.255.0

!
object network VPN
nat (outside,outside) dynamic 22.1.1.12  // 写interface写静态IP均可

#8.x
nat (outside) 1 172.16.66.0 255.255.255.0 // vpn是从outside拨入,nat 是outside--outside
3、8.x/9.x  same-security-traffic permit intra-interface
这样应该就可以了。
附一张实验拓扑


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (1 评价)
 楼主| 发表于 2018-10-25 12:36:36 | 显示全部楼层
gengchunlin 发表于 2018-10-25 10:10
看你的描述应该是nat和sslvpn都在一台设备上。这样需要考虑三个点
1、为inside-->VPN的流量做nat豁免 //如 ...

是的,环境如您所描述,nat和ssl vpn在同一个ASA上,
回复2:
为VPN流量做了pool 地址池的NAT,
nat (outside) 1 172.16.66.0 255.255.255.0
回复3:
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
测试访问还是不行,acl这一块需要针对anyconnect的pool地址做什么策略吗
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-25 13:38:09 | 显示全部楼层
jia-yupeng 发表于 2018-10-25 12:36
是的,环境如您所描述,nat和ssl vpn在同一个ASA上,
回复2:
为VPN流量做了pool 地址池的NAT,

应该不用调整acl
有两个点忘了提
1、B3-VpnNatACL 有没有做调用
2、是否新定义了tunnel-group ,如果没有建议新定义一个tunnel-group
SecASA(config)# sh run webvpn
webvpn
enable outside
enable inside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00061-k9.pkg 1
anyconnect enable
tunnel-group-list enable
SecASA(config)# sh run tunnel-group
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool vpn-pool
default-group-policy SSLVPN
tunnel-group SSLVPN webvpn-attributes
group-alias sslvpn enable
SecASA(config)# sh run group-policy
group-policy SSLVPN internal
group-policy SSLVPN attributes
dns-server value 10.1.20.7
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
address-pools value vpn-pool
SecASA(config)#
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-11-1 10:29:59 | 显示全部楼层
做隧道分离vpn下发服务器的路由了嘛??
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-1-9 17:43:46 | 显示全部楼层
gengchunlin 发表于 2018-10-25 13:38
应该不用调整acl
有两个点忘了提
1、B3-VpnNatACL 有没有做调用

1.B3-VpnNatACL做了调用
nat (inside) 0 access-list B3-VpnNatACL
2.定义了tunne-group,
tunnel-group group-B3 type remote-access
tunnel-group group-B3 general-attributes
default-group-policy webvpn-B3
tunnel-group group-B3 webvpn-attributes
group-alias group-B3 enable
3.group-policy配置如下:
ASA01# sh running-config group-policy
group-policy webvpn-B3 internal
group-policy webvpn-B3 attributes
vpn-simultaneous-logins 50
vpn-idle-timeout 5
vpn-session-timeout 180
vpn-filter value webvpn-B3
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value B3-SplitACL
address-pools value B3-VpnPool
4.隧道分离下发服务器的路由已配置:
access-list B3-SplitACL standard permit host 47.x.x.x
access-list anyconnect-ACL extended permit ip 172.16.66.0 255.255.255.0 host 47.x.x.x
nat (outside2) 1 access-list anyconnect-ACL
global (outside2) 1 192.168.10.7 netmask 255.255.255.255
测试已经获得路由:
数据包已经发出,但是在outside接口查看不到172.16.66.0/24的nat表项

设备版本:

不知道这个版本是否支持outside方向到outside方向的Nat,还是配置上有点问题,看不到nat表项,
请帮忙看下

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-1-9 17:49:48 | 显示全部楼层
wuhao0015 发表于 2018-11-1 10:29
做隧道分离vpn下发服务器的路由了嘛??

做了隧道分离路由:
access-list B3-SplitACL standard permit host 47.x.x.x
access-list anyconnect-ACL extended permit ip 172.16.66.0 255.255.255.0 host 47.x.x.x
nat (outside2) 1 access-list anyconnect-ACL
global (outside2) 1 192.168.10.7 netmask 255.255.255.255


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-9 18:50:50 | 显示全部楼层
jia-yupeng 发表于 2019-1-9 17:43
1.B3-VpnNatACL做了调用
nat (inside) 0 access-list B3-VpnNatACL
2.定义了tunne-group,

你把nat 0去掉吧?貌似没有什么特殊作用,114/8 这两个地址做不做转换感觉意义不大
nat (outside2) 1 直接写ip地址试试
nat (outside2) 1 172.16.66.0 255.255.255.0

还有same-security-traffic permit intra-interface
8.4之下的版本没有过多接触过,目前也没找到合适的测试机,感觉应该是支持同区域nat的。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-1-10 11:30:47 | 显示全部楼层
gengchunlin 发表于 2019-1-9 18:50
你把nat 0去掉吧?貌似没有什么特殊作用,114/8 这两个地址做不做转换感觉意义不大
nat (outside2) 1 直 ...

nat 0是通过的流量不做nat,anyconnect拨上来需要访问部分内网资源,因此加的nat赦免;
修改为nat (outside2) 1 172.16.66.0 255.255.255.0,测试访问还是打不开,看不到针对anyconnect的nat表项
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
同区域互访已经enable;
当前版本是 8.2(1),
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-7-18 13:20 , Processed in 0.118107 second(s), 51 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表