取消
显示结果 
搜索替代 
您的意思是: 
cancel
6171
查看次数
0
有帮助
11
回复

ASA5515防火墙问题

seasonli72658
Spotlight
Spotlight
本帖最后由 seasonli72658 于 2019-11-21 14:18 编辑
我这面有一个防火墙ASA5515
interface GigabitEthernet0/0 我用来上外网和ipsec隧道用(电信公网IP)
interface GigabitEthernet0/5 我用来VPN连接
(联通公网IP)

不知道这样可以吗,因为我从外网只能ping通
GigabitEthernet0/0

GigabitEthernet0/5下面这个联通的IP我ping不通,不确定这个方案可行吗

路由写了优先级的
0.0.0.0 0.0.0.0
GigabitEthernet0/0 1

0.0.0.0 0.0.0.0 GigabitEthernet0/5 10





11 条回复11

YilinChen
Spotlight
Spotlight
由内向外,要看支不支持策略路由,2条默认路由,只会生效一条,那么问题来了,ASA5515是否支持源进源出?当有数据包从联通接口进来后,防火墙是否知道应该把返回流量从联通接口再发送出去?

seasonli72658
Spotlight
Spotlight
YilinChen 发表于 2019-11-22 09:57
由内向外,要看支不支持策略路由,2条默认路由,只会生效一条,那么问题来了,ASA5515是否支持源进源出?当 ...

是支持策略路由的,route-map rmap-to-Liantong permit 10
match ip address acl-20F-data-to-any acl-WiFiGuest-to-any acl-expe-to-outside1 acl-raspb-to-outside1 acl-nas2-to-outside1
set ip next-hop 140.207.0.25
我写了ACL这些地址将走联通的口出去,是不是还要写一个NAT让这些策略路由里面的objet进来也从联通口进来呢

kingisme
Spotlight
Spotlight
seasonli72658 发表于 2019-11-22 14:36
是支持策略路由的,route-map rmap-to-Liantong permit 10
match ip address acl-20F-data-to-any acl- ...

应该是要豁免NAT

kingisme
Spotlight
Spotlight
interface GigabitEthernet0/5
nameif vpn
interface GigabitEthernet0/2(假名这是你的内网)
nameif inside
172.22.1.0 255.255.255.0
object network inside
subnet 172.22.1.0 255.255.255.0
object network vpn
subnet 172.22.2.0 255.255.255.0(假如这是对端的子网)
nat (inside,vpn) source static inside inside destination static vpn vpn no-proxy-arp route-lookup
这等于把配置都给你写好了,要是再看不懂就没办法了

seasonli72658
Spotlight
Spotlight
kingisme 发表于 2019-11-22 16:41
interface GigabitEthernet0/5
nameif vpn
interface GigabitEthernet0/2(假名这是你的内网)

在问一下,电信和联通都用interface GigabitEthernet0/2(假名这是你的内网)
nameif inside
172.22.1.0 255.255.255.0
这一个inside可以吗,有没有影响

seasonli72658
Spotlight
Spotlight
kingisme 发表于 2019-11-22 16:41
interface GigabitEthernet0/5
nameif vpn
interface GigabitEthernet0/2(假名这是你的内网)

还有一个问题,就是我联通的公网地址Ping不通,这样VPN能进来吗
还有有没有VPN配置的教程呢给我看一下,我怕少配了什么在不好用

完全感觉
Spotlight
Spotlight
您这个方案是不可行的,路由不通
解决路由问题可以用子墙,但子墙某些VPN好像不支持的

seasonli72658
Spotlight
Spotlight
完全感觉 发表于 2019-11-27 15:38
您这个方案是不可行的,路由不通
解决路由问题可以用子墙,但子墙某些VPN好像不支持的

你的意思是子端口吗,把两个公网IP设置在一个端口上。
我现在电信的那个IP用来上外网也就是outside,现在是没有问题,我做了策略路由让一部分网段从联通的口出去outside1,这个也是没问题,我都测过了,是不是我在写一个NAT豁免一下就可以了,让这些流量在从outside1进来,也就是联通的端口

seasonli72658
Spotlight
Spotlight
kingisme 发表于 2019-11-22 16:41
interface GigabitEthernet0/5
nameif vpn
interface GigabitEthernet0/2(假名这是你的内网)

在问一下
interface GigabitEthernet0/5
nameif vpn
这个nameif vpn在这里起什么做用呢,这个没看懂

完全感觉
Spotlight
Spotlight
seasonli72658 发表于 2019-11-27 15:45
你的意思是子端口吗,把两个公网IP设置在一个端口上。
我现在电信的那个IP用来上外网也就是outside,现 ...

虚拟子墙,1台ASA模拟出多台ASA

seasonli72658
Spotlight
Spotlight
YilinChen 发表于 2019-11-22 09:57
由内向外,要看支不支持策略路由,2条默认路由,只会生效一条,那么问题来了,ASA5515是否支持源进源出?当 ...

有什么方法可以解决这个问题吗,麻烦在提示提示
还有源进源出这个用什么命令可以实现呢
快捷链接