已解决: 回复： ASA 配置 anyconnect问题

houSEN8828491 · ‎11-05-2019

需求，
所以登陆anyconnect的流量都走VPN。从公司网络出去。
现状，之前的人配置了object-group network VPN
然后在 object-group network 定义了ip，然后在添加静态路由， route inside ip mask 192.168.180.2.。这种方式访问。
想问如何把流量都走VPN？
PS；这个可以不删吗？如果不行可以在退回来，因为这里加了很多IP
可加：QQ 990089779
如果需要可以发个红包.

kongchao2013 · ‎11-05-2019

1、默认情况下，客户端拨了anyconnect后，不管上网流量还是生产业务流量，都会走vpn隧道
2、ASA防火墙里面可以配置隧道分离 tunnel-split，使用acl定义源-目，客户端如果匹配上源-目，就
会走vpn隧道
3、以上两点，是流量转发的方式。我想你需要的是以上的第一点
4、使用以上第二点，会好一点，比如：我在家办公，上网走家里的宽带，办公走anyconect-vpn隧道
5、如果使用第一种，流量都会到公司的ASA上面，对ASA性能有所要求，并且客户端不能上网，如果客
户端借助公司的ASA上网，还需要有额外的NAT配置，以及同一接口内的通讯被允许（same-interface-traffice）
6、太麻烦，所以没人回答你
7、看你这情况，把隧道分离的配置删除掉就好，流量都会来公司的ASA上面，但是允许不允许客户端借助ASA上面的宽带上网，这个是额外决策，这里不说了
8、建议你找设备供应商

在原帖中查看解决方案

kongchao2013 · ‎11-05-2019

1、默认情况下，客户端拨了anyconnect后，不管上网流量还是生产业务流量，都会走vpn隧道
2、ASA防火墙里面可以配置隧道分离 tunnel-split，使用acl定义源-目，客户端如果匹配上源-目，就
会走vpn隧道
3、以上两点，是流量转发的方式。我想你需要的是以上的第一点
4、使用以上第二点，会好一点，比如：我在家办公，上网走家里的宽带，办公走anyconect-vpn隧道
5、如果使用第一种，流量都会到公司的ASA上面，对ASA性能有所要求，并且客户端不能上网，如果客
户端借助公司的ASA上网，还需要有额外的NAT配置，以及同一接口内的通讯被允许（same-interface-traffice）
6、太麻烦，所以没人回答你
7、看你这情况，把隧道分离的配置删除掉就好，流量都会来公司的ASA上面，但是允许不允许客户端借助ASA上面的宽带上网，这个是额外决策，这里不说了
8、建议你找设备供应商

Tommy_zou · ‎11-25-2022

感谢这么详细的回答，same-security-traffic救我一命

Yanli Sun · ‎11-10-2019

kongchao2013 发表于 2019-11-7 15:05
1、默认情况下，客户端拨了anyconnect后，不管上网流量还是生产业务流量，都会走vpn隧道
2、ASA防火墙里 ...

感谢楼上解答，太详细了