取消
显示结果 
搜索替代 
您的意思是: 
cancel
17611
查看次数
0
有帮助
14
回复

求教怎么用拨入sslvpn上去的网络上网?

wb_ww
Level 1
Level 1
vpn服务器连接的是内网,但是内网IP是可以上外网的,现在在外网通过SSLVPN拨入内网,怎么使用拨入sslvpn上去的这个内网网络上网?不是指拨入SSLVPN之前的网络上网。求教大家!
1 个已接受解答

已接受的解答

jingjian
Spotlight
Spotlight
wb_ww 发表于 2017-12-25 10:16
谢谢,能给举个例子吗?我目前这个SSLVPN地址池是没有接口的,是不是可以把sslvpn的地址池,单独起一个物 ...

第一步:加载VPN image镜像
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.5.03040-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
第二步:配置VPN地址池
ip local pool AnyConnect 172.16.0.1-172.16.0.254 mask 255.255.255.0
第三部:因为anyconnect客户端需要从远端访问internet,所以需要配置NAT
object network inside
subnet 10.0.0.0 255.0.0.0
nat (inside,outside) dynamic interface
object network AnyConnect
subnet 172.16.0.0 255.255.255.0
nat (outside,outside) dynamic interface
第四步:配置NAT旁路,anyconnect的加密流量不需要nat转换
nat (inside,outside) source static inside inside destination static anyconnect anyconnect
!
第五步:开启同一端口的流量转发
same-security-traffic permit intra-interface
第六步:配置Group-Policy
group-policy AnyConnect internal
group-policy AnyConnect attributes
dns-server value 114.114.114.114 需要为anyconnect client推送DNS,否则无法解析
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall 所有的流量都需要从tunnel走,不需要隧道分割,此技术叫做U-turning
第七步:配置tunnel-group
tunnel-group AnyConnect type remote-access
tunnel-group AnyConnect general-attributes
address-pool AnyConnect
default-group-policy AnyConnect
tunnel-group AnyConnect webvpn-attributes
group-alias AnyConnect enable
第八步:配置本地用户名和密码,并调用Group-Policy
usernmae vpnuser password cisco123
username vpnuser attributes
service-type remote-access
vpn-group-policy AnyConnect
标准红色的部分就是使用了U-turning的技术,所有的流量都会送到远端,和我之前写的的anyconnect不太一样的地方。

在原帖中查看解决方案

14 条回复14

jingjian
Spotlight
Spotlight
wb_ww 发表于 2017-12-25 10:16
谢谢,能给举个例子吗?我目前这个SSLVPN地址池是没有接口的,是不是可以把sslvpn的地址池,单独起一个物 ...

第一步:加载VPN image镜像
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.5.03040-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
第二步:配置VPN地址池
ip local pool AnyConnect 172.16.0.1-172.16.0.254 mask 255.255.255.0
第三部:因为anyconnect客户端需要从远端访问internet,所以需要配置NAT
object network inside
subnet 10.0.0.0 255.0.0.0
nat (inside,outside) dynamic interface
object network AnyConnect
subnet 172.16.0.0 255.255.255.0
nat (outside,outside) dynamic interface
第四步:配置NAT旁路,anyconnect的加密流量不需要nat转换
nat (inside,outside) source static inside inside destination static anyconnect anyconnect
!
第五步:开启同一端口的流量转发
same-security-traffic permit intra-interface
第六步:配置Group-Policy
group-policy AnyConnect internal
group-policy AnyConnect attributes
dns-server value 114.114.114.114 需要为anyconnect client推送DNS,否则无法解析
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall 所有的流量都需要从tunnel走,不需要隧道分割,此技术叫做U-turning
第七步:配置tunnel-group
tunnel-group AnyConnect type remote-access
tunnel-group AnyConnect general-attributes
address-pool AnyConnect
default-group-policy AnyConnect
tunnel-group AnyConnect webvpn-attributes
group-alias AnyConnect enable
第八步:配置本地用户名和密码,并调用Group-Policy
usernmae vpnuser password cisco123
username vpnuser attributes
service-type remote-access
vpn-group-policy AnyConnect
标准红色的部分就是使用了U-turning的技术,所有的流量都会送到远端,和我之前写的的anyconnect不太一样的地方。

13nash
Level 8
Level 8
隧道分离? 好像有点绕啊,你这个

YilinChen
Spotlight
Spotlight
抛开安全的话,技术上是可以实现的:
1,拨入SSLVPN,肯定要获取一个SSLVPN拨入用户地址池内对应的私网IP地址;
2,这个地址段,在局域网内部,需要有路由,才能访问实际的应用(其它网段的IP);
3,如果不打通路由,就需要NAT了,以SSLVPN本身内网接口IP,做为源IP,去访问其它应用;
4,如果这个SSLVPN的内网接口,本身可以访问Internet,SSLVPN设置时不要做隧道分离,且访问的策略是充许访问任意地址;就能实现LZ的需求了;

jingjian
Spotlight
Spotlight
请参考这篇配置文档
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html
第一部分AnyConnect VPN Client for Public Internet VPN on a Stick Configuration Example
注意:在group-policy下要定义公网DNS
group-policyclientgroup attributes
dns value 8.8.8.8

wb_ww
Level 1
Level 1
13nash 发表于 2017-12-24 09:24
隧道分离? 好像有点绕啊,你这个

不是隧道分离呀!!

wb_ww
Level 1
Level 1
YilinChen 发表于 2017-12-24 13:17
抛开安全的话,技术上是可以实现的:
1,拨入SSLVPN,肯定要获取一个SSLVPN拨入用户地址池内对应的私网IP地 ...

谢谢,能给举个例子吗?我目前这个SSLVPN地址池是没有接口的,是不是可以把sslvpn的地址池,单独起一个物理接口?然后给他做NAT?或者路由这样吗?
还有安全方面有哪些隐患?

YilinChen
Spotlight
Spotlight
wb_ww 发表于 2017-12-25 10:16
谢谢,能给举个例子吗?我目前这个SSLVPN地址池是没有接口的,是不是可以把sslvpn的地址池,单独起一个物 ...

原理之前就提到过了,说白了就是VPN和防火墙要分开来看,要让拨入的用户访问其它资源时,源IP地址是 VPN的内网接口IP,主流设备都支持做NAT呀。

XuLei18879
Level 1
Level 1
你要保证你vpn上来以后得到的ip地址也是能上网的,要给客户端分配一个有效的DNS,还要在内网给vpn网段上互联网的流量做路由。

Rockyw
Spotlight
Spotlight
楼主可以参考一下
VPN客户端和AnyConnect访客接入对本地LAN配置示例
https://www.cisco.com/c/zh_cn/support/docs/security/asa-5500-x-series-next-generation-firewalls/70847-local-lan-pix-asa.html
Cisco AnyConnect VPN Client 无法访问用户内网
https://www.cisco.com/c/zh_cn/support/docs/security/anyconnect-secure-mobility-client/anyconnectvpnclientcannotaccessinside.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

wb_ww
Level 1
Level 1
arvinjing 发表于 2017-12-25 22:37
第一步:加载VPN image镜像
webvpn
enable outside

太详细了,谢谢啦!!:)就是vpn地址池其实是不用单独起一个端口的是吧?直接做NAT就可以了对吗?vpn拨入之后就实现了,还能访问内网,还能通过内网的NAT上网是吧?

jingjian
Spotlight
Spotlight
wb_ww 发表于 2017-12-26 17:27
太详细了,谢谢啦!!就是vpn地址池其实是不用单独起一个端口的是吧?直接做NAT就可以了对吗?vpn拨入 ...

不用单独起用一个端口,只要配置地址池就可以了,防火墙会自动match VPN流量,送到你的内网中去。
但是你的内网也要有到达防火墙vpn 地址池网络的路由

wb_ww
Level 1
Level 1
arvinjing 发表于 2017-12-26 21:07
不用单独起用一个端口,只要配置地址池就可以了,防火墙会自动match VPN流量,送到你的内网中去。
但是 ...

好的,十分感谢!

jingjian
Spotlight
Spotlight
wb_ww 发表于 2017-12-27 09:42
好的,十分感谢!

如果已经解决您的问题,请标记为‘已解决’并采纳最佳答案,可以供其他小伙伴参考

one-time
Level 13
Level 13
若您的问题已被解决,快来标记最佳答案吧,您的肯定,是对认真回复问题用户的最大鼓励呦~
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接