各位大佬好:
我这边一个奇怪的现象 : 我的SSL VPN地址 local pool 10.168.244.0 在总部
我与分公司的ipsec兴趣流为:10.168.0.0 /16 对端 10.235.0.0/16 ,隧道正常,内网之间可以访问,但是当我在公司外拨vpn时,无法访问对端10.235.0.0的网络,10.168的其他地址正常,但是vpn 端 10.168.244.0的却不行 ,但是我用分公司的10.235段地址可以ping通我的vpn地址,请哪位大佬指导下,没碰到过这个问题呢
另:我司总部两条外网,用另一条做ipsec 对接 ,ssl vpn则可正常访问10.235段
已解决! 转到解答。
拿模拟器跑了一下实验,两个图,
第一个是anyconnect vpn和 ipsecvpn使用不同的internet接口,各种流量访问没有问题。
第二个是anyconnect vpn和 ipsecvpn使用同一个internet接口,总部到分支的流量正常,anyconnect到总部正常,anyconnect vpn到 remote 彼此不通,添加了“same-security-traffic permit intra-interface ”的配置,所有流量都恢复正常。
看你的问题表述中有一个remote到 anyconnect单通的情况,这个点有点问题,方便的话结合拓扑和必要的配置说明一下,还有一种可能是接口acl的限制,可以检查一下相关配置
//实验中asa仅配置了相应的zone,没有配置任何显式的acl,无NAT配置,如果你的环境中有相应的配置的话,最好也提现出来
ilay
**如果该回答解决了您的问题,请标记已解决**
拿模拟器跑了一下实验,两个图,
第一个是anyconnect vpn和 ipsecvpn使用不同的internet接口,各种流量访问没有问题。
第二个是anyconnect vpn和 ipsecvpn使用同一个internet接口,总部到分支的流量正常,anyconnect到总部正常,anyconnect vpn到 remote 彼此不通,添加了“same-security-traffic permit intra-interface ”的配置,所有流量都恢复正常。
看你的问题表述中有一个remote到 anyconnect单通的情况,这个点有点问题,方便的话结合拓扑和必要的配置说明一下,还有一种可能是接口acl的限制,可以检查一下相关配置
//实验中asa仅配置了相应的zone,没有配置任何显式的acl,无NAT配置,如果你的环境中有相应的配置的话,最好也提现出来
ilay
**如果该回答解决了您的问题,请标记已解决**
感谢回复,因为trace的话 发现 vpn段流量没有进隧道,直接去公网了,所以我最后加了一条nat 好了 就是 nat (internet,internet) source static anyconnect anyconnect destination static remote-traffic remote-traffic no-proxy-arp route-lookup, 但是奇怪的是我另一条外网没问题,可能是 我的anyconnect nat 设置问题
你那有这个版本模拟器吗 能发给我一下吗? 我现在对防火墙还不太熟悉 ,我的vx 一三八一一七五七二零八 ,方便的话 还有其他问题请教一下