安全讨论区中的主题 anyconnect访问IDC机房服务器

anyconnect访问IDC机房服务器

jia-yupeng — Wed, 24 Oct 2018 06:41:20 GMT

需求介绍：
用户在IDC机房有服务器（对外提供域名访问）对外提供访问，BJ在office出去上网使用固定的公网地址，IDC入口加了白名单只允许office 上网的固定地址去访问该服务，
现在异地anyconnect用户播VPN上来，获取一个内网地址，也需要去访问该公网服务，理解就是anyconnect也需要nat出去上网也需要nat成office的固定公网地址，才能进行访问，而不是走本地出去访问外网，想问下这个需求需要怎么做，做了dns解析和隧道分离，没实现。

配置如下：
access-list B3-VpnNatACL extended permit ip host 114.114.114.114 172.16.66.0 255.255.255.0
access-list B3-VpnNatACL extended permit ip host 8.8.8.8 172.16.66.0 255.255.255.0
access-list B3-SplitACL standard permit host xxxx(IDC公网ip)
ip local pool B3-VpnPool 172.16.66.10-172.16.66.120 mask 255.255.255.0
nat (inside) 1 172.16.66.0 255.255.255.0---针对anyconnect地址做转换
group-policy webvpn-B3 internal
group-policy webvpn-B3 attributes
dns-server value 114.114.114.114 8.8.8.8
vpn-simultaneous-logins 50
vpn-idle-timeout 5
vpn-session-timeout 180
vpn-filter value webvpn-B3
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value B3-SplitACL
address-pools value B3-VpnPool

anyconnect访问IDC机房服务器

ilay — Thu, 25 Oct 2018 02:10:49 GMT

本帖最后由 gengchunlin 于 2018-10-25 10:26 编辑
看你的描述应该是nat和sslvpn都在一台设备上。这样需要考虑三个点
1、为inside-->VPN的流量做nat豁免 //如果没有remote访问office区域的需求可不做这一步
2、为vpn的地址在asa上做nat/pat
3、同区域流量进出的问题
ps:测试环境为9.x 你的环境应该在8.4版本以下，我尽可能写出对应的命令，但不一定完全准确，接触8.x的版本不太多。
1、做nat豁免
#9.x
object network VPN-IPADDR
subnet 172.16.1.0 255.255.255.0
object network LOCAL-IPADDR
subnet 10.0.0.0 255.0.0.0
nat (inside,outside) source static LOCAL-IPADDR LOCAL-IPADDR destination static VPN-IPADDR VPN-IPADDR
#8.x
access-list sslvpn_nat_0 extended permit ip 10.0.0.0 255.0.0.0 172.16.1.0 255.255.255.0
nat (inside) 0 access-list sslvpn_nat_0
2、为vpn流量做nat
#9.x
object network VPN
subnet 172.16.1.0 255.255.255.0
!
object network VPN
nat (outside,outside) dynamic 22.1.1.12 // 写interface写静态IP均可
#8.x
nat (outside) 1 172.16.66.0 255.255.255.0 // vpn是从outside拨入，nat 是outside--outside
3、8.x/9.x same-security-traffic permit intra-interface
这样应该就可以了。
附一张实验拓扑

anyconnect访问IDC机房服务器

jia-yupeng — Thu, 25 Oct 2018 04:36:36 GMT

gengchunlin 发表于 2018-10-25 10:10
看你的描述应该是nat和sslvpn都在一台设备上。这样需要考虑三个点
1、为inside-->VPN的流量做nat豁免 //如 ...

是的，环境如您所描述，nat和ssl vpn在同一个ASA上，
回复2：
为VPN流量做了pool 地址池的NAT，
nat (outside) 1 172.16.66.0 255.255.255.0
回复3：
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
测试访问还是不行，acl这一块需要针对anyconnect的pool地址做什么策略吗

anyconnect访问IDC机房服务器

ilay — Thu, 25 Oct 2018 05:38:09 GMT

jia-yupeng 发表于 2018-10-25 12:36
是的，环境如您所描述，nat和ssl vpn在同一个ASA上，
回复2：
为VPN流量做了pool 地址池的NAT，

应该不用调整acl
有两个点忘了提
1、B3-VpnNatACL 有没有做调用
2、是否新定义了tunnel-group ,如果没有建议新定义一个tunnel-group
SecASA(config)# sh run webvpn
webvpn
enable outside
enable inside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00061-k9.pkg 1
anyconnect enable
tunnel-group-list enable
SecASA(config)# sh run tunnel-group
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool vpn-pool
default-group-policy SSLVPN
tunnel-group SSLVPN webvpn-attributes
group-alias sslvpn enable
SecASA(config)# sh run group-policy
group-policy SSLVPN internal
group-policy SSLVPN attributes
dns-server value 10.1.20.7
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
address-pools value vpn-pool
SecASA(config)#

anyconnect访问IDC机房服务器

wuhao0015 — Thu, 01 Nov 2018 02:29:59 GMT

做隧道分离vpn下发服务器的路由了嘛？？

anyconnect访问IDC机房服务器

jia-yupeng — Wed, 09 Jan 2019 09:43:46 GMT

gengchunlin 发表于 2018-10-25 13:38
应该不用调整acl
有两个点忘了提
1、B3-VpnNatACL 有没有做调用

1.B3-VpnNatACL做了调用
nat (inside) 0 access-list B3-VpnNatACL
2.定义了tunne-group，
tunnel-group group-B3 type remote-access
tunnel-group group-B3 general-attributes
default-group-policy webvpn-B3
tunnel-group group-B3 webvpn-attributes
group-alias group-B3 enable
3.group-policy配置如下：
ASA01# sh running-config group-policy
group-policy webvpn-B3 internal
group-policy webvpn-B3 attributes
vpn-simultaneous-logins 50
vpn-idle-timeout 5
vpn-session-timeout 180
vpn-filter value webvpn-B3
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value B3-SplitACL
address-pools value B3-VpnPool
4.隧道分离下发服务器的路由已配置：
access-list B3-SplitACL standard permit host 47.x.x.x
access-list anyconnect-ACL extended permit ip 172.16.66.0 255.255.255.0 host 47.x.x.x
nat (outside2) 1 access-list anyconnect-ACL
global (outside2) 1 192.168.10.7 netmask 255.255.255.255
测试已经获得路由：
数据包已经发出，但是在outside接口查看不到172.16.66.0/24的nat表项
设备版本：

不知道这个版本是否支持outside方向到outside方向的Nat，还是配置上有点问题，看不到nat表项，
请帮忙看下

anyconnect访问IDC机房服务器

jia-yupeng — Wed, 09 Jan 2019 09:49:48 GMT

wuhao0015 发表于 2018-11-1 10:29
做隧道分离vpn下发服务器的路由了嘛？？

做了隧道分离路由：
access-list B3-SplitACL standard permit host 47.x.x.x
access-list anyconnect-ACL extended permit ip 172.16.66.0 255.255.255.0 host 47.x.x.x
nat (outside2) 1 access-list anyconnect-ACL
global (outside2) 1 192.168.10.7 netmask 255.255.255.255

anyconnect访问IDC机房服务器

ilay — Wed, 09 Jan 2019 10:50:50 GMT

jia-yupeng 发表于 2019-1-9 17:43
1.B3-VpnNatACL做了调用
nat (inside) 0 access-list B3-VpnNatACL
2.定义了tunne-group，

你把nat 0去掉吧？貌似没有什么特殊作用，114/8 这两个地址做不做转换感觉意义不大
nat (outside2) 1 直接写ip地址试试
nat (outside2) 1 172.16.66.0 255.255.255.0
还有same-security-traffic permit intra-interface
8.4之下的版本没有过多接触过，目前也没找到合适的测试机，感觉应该是支持同区域nat的。

anyconnect访问IDC机房服务器

jia-yupeng — Thu, 10 Jan 2019 03:30:47 GMT

gengchunlin 发表于 2019-1-9 18:50
你把nat 0去掉吧？貌似没有什么特殊作用，114/8 这两个地址做不做转换感觉意义不大
nat (outside2) 1 直 ...

nat 0是通过的流量不做nat，anyconnect拨上来需要访问部分内网资源，因此加的nat赦免；
修改为nat (outside2) 1 172.16.66.0 255.255.255.0，测试访问还是打不开，看不到针对anyconnect的nat表项
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
同区域互访已经enable；
当前版本是 8.2(1)，