Cisco ASA外部SSLVPN与内部IPSEC VPN连接的问题

apish1986 · ‎12-17-2019

本帖最后由 apish1986 于 2019-12-17 22:28 编辑
请教大家一个问题，目前公司内有一台ASA-5525做路由使用，ASA上分别为其中两个端口上配置了内网地址(A.A.A.1/24)和公网地址(B.B.B.B)。ASA内网端口(A.A.A.1)同内部核心交换机连接，外网端口(B.B.B.B)同运营商ISP光猫相连，内部核心交换机的地址是（A.A.A.2/24）。ASA和内部核心交换机两台设备上通过写了静态路由分别互指了对方打通内外网链接。同时ASA上配置了IPSEC VPN同公司其他分支机构的ASA-5515做了网络连接，分支机构地址段（C.C.0.0/16）,两处可以互访对方网段。

目前碰到的问题如下，现在ASA-5525上配置了SSL WEBVPN在公网通过anyconncet拨号进入内网，连通后可以正常访问与核心交换（A.A.A.2/24）所在网络的内部资源，但是无法访问远端分支机构ASA-5515下的内网段所在的资源（ping不通）。

Rps-Cheers · ‎12-17-2019

是否有配置呢？ASA是否可以让源为SSL VPN Pool的地址访问分支的内外？

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

IceFire_Ken · ‎12-18-2019

没有授权访问分支机构的路由吧

l8310892118l · ‎12-18-2019

1、sslvpn需要确保下发路由，并在对应的acl中放行。
2、你的ipsecvpn也是通过外网接口建立的吧，那么这样你需要配置same-security-traffic permit Intra-Interface。因为默认情况下，流量从同一个接口进入和离开防火墙是不被允许的。

fortune · ‎12-19-2019

1. 路由是否有，就是ssl vpn 拨号进来分配的网段访问其他网段是否放通
2.不要用ping ，可以telnet端口或者直接访问测试

apish1986 · ‎12-22-2019

l8310892118l 发表于 2019-12-19 04:54
1、sslvpn需要确保下发路由，并在对应的acl中放行。
2、你的ipsecvpn也是通过外网接口建立的吧，那么这样 ...

您好，
我们内网地址段为172.16.0.0/16，分支机构的地址段是172.17.0.0/16，SSL拨入后分配的是192.168.0.0/24地址段，请问检查相关的路由信息具体是指？（目前内部是用的静态路由，出外网的路由就是0.0.0.0下一跳直接公网地址的默认路由）,现有连通两地的ipsec是直接做在外网口上的，但是路由表里也没有对端地址段的公网或内网地址的路由，但是如果在直接在172.16.0.0/16段内网环境是可以访问对端的，谢谢

apish1986 · ‎12-22-2019

vsop5207 发表于 2019-12-19 22:54
1. 路由是否有，就是ssl vpn 拨号进来分配的网段访问其他网段是否放通
2.不要用ping ，可以telnet端口或者 ...

您好，
我们内网地址段为172.16.0.0/16，分支机构的地址段是172.17.0.0/16，SSL拨入后分配的是192.168.0.0/24地址段，请问检查相关的路由信息具体是指？（目前内部是用的静态路由，出外网的路由就是0.0.0.0下一跳直接公网地址的默认路由）,现有连通两地的ipsec是直接做在外网口上的，但是路由表里也没有对端地址段的公网或内网地址的路由，但是如果在直接在172.16.0.0/16段内网环境是可以访问对端的，谢谢

wuhao0015 · ‎12-22-2019

楼上已经说了，
SSLVPN需要推送路由。
开启外部访问外部是同通的。
最后别忘了SSLVPN的网段到L2L对端的感兴趣流。

likuo · ‎12-27-2019

我认为是路由的问题。

robortlin · ‎12-28-2019

tracert 下看看在哪里断 ,看楼主分析应该是路由问题

ABELLCCTV70187 · ‎03-10-2020

看楼主分析应该是路由问题

13nash · ‎03-20-2020

我胡汉三又回来了