取消
显示结果 
搜索替代 
您的意思是: 
cancel
6571
查看次数
0
有帮助
8
回复

ASA 5512X 多出口环境,easy vpn连接后无法访问内网

se7en_0_se7en
Level 1
Level 1
因为公司需要经常访问google等外网,所以目前有一条香港专线,一条电信专线和一条电信ADSL 线路。
三条线路全部接在ASA上,默认路由走香港专线,然后通过asa上刷国内路由表指定国内地址走adsl出。电信专线专用于公司业务系统及L2L 和remote vpn连接。
现在remote vpn连接后无法访问内网,去掉adsl和国内路由表的静态路由后就没问题。
有什么解决办法么?
153253dcog1sn41znz2ggg.jpg
8 条回复8

se7en_0_se7en
Level 1
Level 1
remote vpn 可以连接,为什么会访问不到内网呢,没有数据流:Q

YilinChen
Spotlight
Spotlight
建议检查remote vpn 相关配置,是否采用隧道分离,还是推默认路由给客户端?

碧云天
Spotlight
Spotlight
本帖最后由 碧云天 于 2020-4-7 01:05 编辑
觉得可能是异步路由导致出现的问题,VPN回包的时候,如果是国内的路由,优先走ADSL,如果不是,优先走香港专线,从而造成回包地址不同,被丢弃。
如果确实是异步路由导致的,估计用ASA的策略路由可以解决问题,但前提是ASA必须支持才行,好像是9.4.1才开始支持策略路由。

碧云天
Spotlight
Spotlight
用ASAv9.91测试,L2L ipsec vpn和 SSL VPN都不会产生异步路由的问题.

se7en_0_se7en
Level 1
Level 1
那为什么我的remote vpn能链接,但是无法访问内网,也开了隧道分离和做了策略路由,指定vpn地址池的ip出去走outside口,而不是adsl。
去掉adsl的静态路由就没问题,vpn能正常链接

se7en_0_se7en
Level 1
Level 1
碧云天 发表于 2020-4-8 23:34
用ASAv9.91测试,L2L ipsec vpn和 SSL VPN都不会产生异步路由的问题.

我的ASA v.9.9和9.12都试了,都不行
大佬你是怎么做的?

碧云天
Spotlight
Spotlight
本帖最后由 碧云天 于 2020-4-15 21:53 编辑
se7en_0_se7en 发表于 2020-4-15 17:24
我的ASA v.9.9和9.12都试了,都不行
大佬你是怎么做的?

http://bbs.csc-china.com.cn/foru ... 7&page=1#pid1046206
你看看这个,不过我用的的eve测试的。如果方便抓包的话,你可以在无法访问内网的时候,看能否想办法在内网对应设备上面开启抓包,看看数据包是否到达了内网设备。CSDN下了一个asav9-12-2.qcow2,eve里面还运行不了,费劲转换后在VMware,运行起来,一看版本,居然是9.2的。


se7en_0_se7en
Level 1
Level 1
碧云天 发表于 2020-4-15 20:35
http://bbs.csc-china.com.cn/foru ... 7&page=1#pid1046206
你看看这个,不过我用的的eve测试的。如果 ...

我的不是ssl vpn,就是常规的ipsec remote vpn. 大佬有空帮我看下配置吗
快捷链接