网络工程 - Cisco ASA 5505 - VPN 无法访问某些网络 - 吾爱随笔录

Cisco ASA 5505 - VPN 无法访问某些网络

网络工程思科思科虚拟专用网防火墙

2021-07-09 18:55:27

首先，我对 Cisco ASA 有相当基本的了解，但我正在尝试调查困扰我的问题。

我正在通过 ASDM 而不是 CLI 工作。

我们有一个 Cisco ASA5505 路由器，它在以太网端口 0 上连接了 192.168.1.x 网络。我们还有一组交换机，它们通过 192.168.71.x 上的以太网端口 3 连接到 ASA。

两者之间的连接运行顺畅。我的问题目前与使用 VPN 的用户有关。当用户使用 VPN 时，他们会获得 ASA 提供的 192.168.73.x 地址。他们能够通过以太网 0 访问 192.168.1.x 上的任何内容，但无法通过以太网 3 访问 192.168.71.x 网络上的任何内容。

因此，简而言之，在 ASA 内部与任一网络通信都没有问题，但当通过 VPN 连接到 ASA 时，只能访问以太网 0 上的 192.168.1.x 网络。

任何关于我应该在哪里寻找答案的指示或信息将不胜感激，如果您需要更多信息来帮助，那么我可以尽我所能尝试解释！

更新：

请访问 www.fresh.co.uk/CiscoConfiguration/Cisco.txt 了解 Cisco ASA 的配置。

另外，这里有一个问题，这很可能是问题的一部分。在 VPN > 连接网关下，有一个 71.x 网络（网络需要访问）的条目，它指向不正确的网关。我试图将其更改为正确的网关（71.253），但对于错误 Cannot Remove Connected route和Cannot add route, Connected route exists。

3个回答

我最近不得不做出类似的改变。我需要添加两个额外的子网。虽然我使用的是 CLI 而不是 ASDM。在版本 9.1 中，我为子网创建了一些新对象，然后只需将额外的子网添加到拆分隧道 ACL（如果使用）以及添加额外的 NAT 规则。

例如：

object network {REMOTE_VPN_USER_SUBNET}
 subnet 10.0.1.0 255.255.255.0
object network {EXISTING_VPN_ACCESSIBLE_SUBNET_1}
 subnet 10.0.2.0 255.255.255.0
object network {NEW_VPN_ACCESSIBLE_SUBNET_2}
 subnet 10.0.3.0 255.255.254.0
object network {NEW_VPN_ACCESSIBLE_SUBNET_3}
 subnet 10.0.4.0 255.255.255.0

split-tunnel-network-list value {YOUR_SPLIT-TUNNEL_LIST}
access-list {YOUR_SPLIT-TUNNEL_LIST} standard permit 10.0.1.0 255.255.255.0 
access-list {YOUR_SPLIT-TUNNEL_LIST} standard permit 10.0.2.0 255.255.255.0 
access-list {YOUR_SPLIT-TUNNEL_LIST} standard permit 10.0.3.0 255.255.255.0 

nat (RELEVANT_INTERFACE_OR_VLAN_NAME,outside) source static {EXISTING_VPN_ACCESSIBLE_SUBNET_1} {EXISTING_VPN_ACCESSIBLE_SUBNET_1} destination static {REMOTE_VPN_USER_SUBNET} {REMOTE_VPN_USER_SUBNET} no-proxy-arp route-lookup
nat (RELEVANT_INTERFACE_OR_VLAN_NAME,outside) source static {NEW_VPN_ACCESSIBLE_SUBNET_2} {NEW_VPN_ACCESSIBLE_SUBNET_2} destination static {REMOTE_VPN_USER_SUBNET} {REMOTE_VPN_USER_SUBNET} no-proxy-arp route-lookup
nat (RELEVANT_INTERFACE_OR_VLAN_NAME,outside) source static {NEW_VPN_ACCESSIBLE_SUBNET_3} {NEW_VPN_ACCESSIBLE_SUBNET_3} destination static {REMOTE_VPN_USER_SUBNET} {REMOTE_VPN_USER_SUBNET} no-proxy-arp route-lookup

查看您的IPSec 设置（可选）。您可能需要调整“接口”和/或“豁免网络”——哪些网络受制于 NAT，哪些不受制于 NAT。

检查与您的 AnyConnect 配置文件关联的组策略，并确保用于它的 ACL 允许流量传递到所需的子网。

其它你可能感兴趣的问题

上一篇子网掩码 /23 上的 PC2 能否向 PC1 发送 ping（均连接在不同的路由器端口/网络上）下一篇有了这些信息，我们可以说网络的稳定性如何？