Route traffic through VPN tunnel - ASA5506 - IPSEC VPN

Valentin GOULET · ‎29-04-2021

Hello,

I currently have an IPSEC VPN (IKEv1) which is functional, the users have good access to the internal network equipment and thanks to the Split Tunneling on the internet connection through their external internet source to the company.

Some applications of the latter use a filtering on IP address, I would like to route all the remote flow through the VPN tunnel so that the public IP address of the main site is also used by users when they connect in VPN.

For example the "redirect-gateway def1" option is available in OpenVPN to answer this, is there a similar possibility with Cisco ?

Thanks in advance for your feedback,

Best Regards,

Valentin GOULET

Anonymous · ‎29-04-2021

Bonjour,

Si je comprends bien (?)

Vous avez un tunnel vpn avec du split tunneling. Mais vous souhaitez que tout le trafic passe par ce tunnel VPN ? (donc faire comme s'il n'y avait pas de split tunneling ?)

Vous auriez

- un schéma simple

- la partie de configuration (mode cli) concernée sur le asa ? (en supprimant les informations confidentielles : IP adresses, mots de passe etc.)

A bientôt

Valentin GOULET · ‎29-04-2021

Bonjour,

Merci pour votre retour,

Le Split Tunneling (si je ne me trompe pas) me permets d'avoir un accès au réseau interne de l'entreprise et d'utiliser le réseau internet personnel pour pouvoir surfer sur internet.

Mais si je le désactive j'ai bien accès à mon réseau internet, mais pas de connexion internet.

Mon souhait serait de pouvoir accéder au réseau interne de l'entreprise et d'avoir une connexion à internet, mais que l'ip public vu soit celle de mon réseau interne entreprise (cette adresse étant autorisée pour l'accès a une application externe).

Merci d'avance,

Valentin GOULET

Anonymous · ‎29-04-2021

Le Split Tunneling permets d'avoir un accès au réseau interne de l'entreprise par le VPN et d'utiliser le réseau internet personnel pour pouvoir surfer sur internet en passant par la connexion de la box dsl par exemple , oui.

Voici d'ailleurs une doc (certes un peu ancienne 200x) sur la question : https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/70917-asa-split-tunnel-vpn-client.html

"Mais si je le désactive j'ai bien accès à mon réseau internet, mais pas de connexion internet."

Si vous désactivez le "split tunneling" vous allez voir tout le trafic (même le trafic vers l'addresse IP publique de votre serveur) passer par le vpn vers le concentrateur VPN sur l'ASA.

Si je comprends bien votre dernière phrase, vous souhaitez utiliser le split tunnel pour:

- accéder à votre réseau d'entreprise

- accéder au serveur en question par son adresse publique (mais pas au reste d'Internet)

Et utiliser votre connexion Internet personnelle (derrière la box dsl) pour:

- surfer sur le reste d'Internet

Si c'est le cas vous devriez pourvoir ajouter un filtre au split tunneling pour qu'il puisse vous donner le passage par le tunnel vpn pour le serveur aussi. Dans ce cas il faut mettre l'adresse publique du serveur dans le filtre.

Un exemple de configuration sur ASA - > doit avoir la forme:

access-list Split_Tunnel_List standard permit ** adresse du réseau entreprise **
access-list Split_Tunnel_List standard permit ** adresse de serveur public **

Vous pouvez vérifier sous windows en faisant un "print route".

Valentin GOULET · ‎29-04-2021

Bonjour @Anonymous,

Je ne sais pas qu'elle solution fonctionne le mieux pour avoir une connexion VPN et une connexion Internet en simultané.

Il est peut-être possible de passer l'ensemble du flux par le biais du VPN et d'avoir de l'internet sans activer le Split Tunneling ?

Pour revenir a votre réponse ci-dessus :

- J'ai laissé activé le Split Tunneling et mis en place les ACE

access-list Split_Tunnel_List standard permit ** adresse du réseau entreprise **
access-list Split_Tunnel_List standard permit ** adresse de serveur public **

Mais ça ne fonctionne pas.

Pour tester cela j'ai le cas concret suivant :

J'ai sur la même adresse IP, un ancien site AA@AA.com et un nouveau site BB@BB.com.

Quand je souhaites accéder a l'ancien site depuis l'extérieur en tapant AA@AA.com il me redirige vers le nouveau site BB@BB.com, quand je fais la même manipulation en interne je reste bien sur le site AA@AA.com (car j'utilise mon Adresse IP Public interne et qu'elle est autorisé pour accéder à l'ancien site AA@AA.com).

Je souhaiterais donc avoir le même comportement par le biais du VPN tout en gardant si possible le Split Tunneling pour avoir internet avec la box adsl (perso).

Merci d'avance pour vos retours,

Valentin GOULET · ‎01-06-2021

Bonjour,

N'ayant pas eu de retour à mon précédent post, je me permets de relancer le sujet.

"J'ai sur la même adresse IP, un ancien site AA@AA.com et un nouveau site BB@BB.com.

Quand je souhaites accéder a l'ancien site depuis l'extérieur en tapant AA@AA.com il me redirige vers le nouveau site BB@BB.com, quand je fais la même manipulation en interne je reste bien sur le site AA@AA.com (car j'utilise mon Adresse IP Public interne et qu'elle est autorisé pour accéder à l'ancien site AA@AA.com).

Je souhaiterais donc avoir le même comportement par le biais du VPN tout en gardant si possible le Split Tunneling pour avoir internet avec la box adsl (perso)."

Pensez-vous que c'est possible de faire cela par le biais d'un VPN IPSEC (ikev1) ou ce n'est pas possible ?

Et si oui, savez vous comment faire ?

Merci d'avance pour vos retours

Valentin GOULET

Route traffic through VPN tunnel - ASA5506 - IPSEC VPN

Liens rapides