annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Annonces
Ask Me Anything du Community Live - Mai 2021
301
Visites
5
Compliment
4
Réponses
Valentin GOULET
Beginner

Route traffic through VPN tunnel - ASA5506 - IPSEC VPN

Hello,

 

I currently have an IPSEC VPN (IKEv1) which is functional, the users have good access to the internal network equipment and thanks to the Split Tunneling on the internet connection through their external internet source to the company.

 

Some applications of the latter use a filtering on IP address, I would like to route all the remote flow through the VPN tunnel so that the public IP address of the main site is also used by users when they connect in VPN.

 

For example the "redirect-gateway def1" option is available in OpenVPN to answer this, is there a similar possibility with Cisco ?

 

Thanks in advance for your feedback,

 

Best Regards,

 

Valentin GOULET

 

 

 

 

 

 

4 RÉPONSES 4
alainfaure
Beginner

Bonjour,

Si je comprends bien (?)

Vous avez un tunnel vpn avec du split tunneling. Mais vous souhaitez que tout le trafic passe par ce tunnel VPN ? (donc faire comme s'il n'y avait pas de split tunneling ?)

Vous auriez

- un schéma simple

- la partie de configuration (mode cli) concernée sur le asa ? (en supprimant les informations confidentielles : IP adresses, mots de passe etc.)

A bientôt

'Quand il n'y a pas de solution, c'est qu'il n'y a pas de problème' (devise Shadock).

Bonjour,

 

Merci pour votre retour,

 

Le Split Tunneling (si je ne me trompe pas) me permets d'avoir un accès au réseau interne de l'entreprise et d'utiliser le réseau internet personnel pour pouvoir surfer sur internet.

 

Mais si je le désactive j'ai bien accès à mon réseau internet, mais pas de connexion internet.

 

Mon souhait serait de pouvoir accéder au réseau interne de l'entreprise et d'avoir une connexion à internet, mais que l'ip public vu soit celle de mon réseau interne entreprise (cette adresse étant autorisée pour l'accès a une application externe).

 

Merci d'avance,

 

Valentin GOULET

Le Split Tunneling  permets d'avoir un accès au réseau interne de l'entreprise par le VPN et d'utiliser le réseau internet personnel pour pouvoir surfer sur internet en passant par la connexion de la box dsl par exemple , oui.

Voici d'ailleurs une doc (certes un peu ancienne 200x) sur la question : https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/70917-asa-split-tunnel-vpn-client.html

 

"Mais si je le désactive j'ai bien accès à mon réseau internet, mais pas de connexion internet."

Si vous désactivez le "split tunneling" vous allez voir tout le trafic (même le trafic vers l'addresse IP publique de votre serveur) passer par le vpn vers le concentrateur VPN sur l'ASA.

 

Si je comprends bien votre dernière phrase, vous souhaitez utiliser le split tunnel pour:

- accéder à votre réseau d'entreprise

- accéder au serveur en question par son adresse publique (mais pas au reste d'Internet)

Et utiliser votre connexion Internet personnelle (derrière la box dsl) pour:

- surfer sur le reste d'Internet

 

Si c'est le cas vous devriez pourvoir ajouter un filtre au split tunneling pour qu'il puisse vous donner le passage par le tunnel vpn pour le serveur aussi. Dans ce cas il faut mettre l'adresse publique du serveur dans le filtre.

 

Un exemple de configuration sur ASA - > doit avoir la forme:

access-list Split_Tunnel_List standard permit ** adresse du réseau entreprise **
access-list Split_Tunnel_List standard permit ** adresse de serveur public **

 

Vous pouvez vérifier sous windows en faisant un "print route".

'Quand il n'y a pas de solution, c'est qu'il n'y a pas de problème' (devise Shadock).

Bonjour @alainfaure,

 

Je ne sais pas qu'elle solution fonctionne le mieux pour avoir une connexion VPN et une connexion Internet en simultané.

 

Il est peut-être possible de passer l'ensemble du flux par le biais du VPN et d'avoir de l'internet sans activer le Split Tunneling ?

 

 

Pour revenir a votre réponse ci-dessus :

 

- J'ai laissé activé le Split Tunneling et mis en place les ACE

 

access-list Split_Tunnel_List standard permit ** adresse du réseau entreprise **
access-list Split_Tunnel_List standard permit ** adresse de serveur public ** 

 

Mais ça ne fonctionne pas.

 

Pour tester cela j'ai le cas concret suivant :

 

J'ai sur la même adresse IP, un ancien site AA@AA.com et un nouveau site BB@BB.com.

 

Quand je souhaites accéder a l'ancien site depuis l'extérieur en tapant AA@AA.com il me redirige vers le nouveau site BB@BB.com, quand je fais la même manipulation en interne je reste bien sur le site AA@AA.com (car j'utilise mon Adresse IP Public interne et qu'elle est autorisé pour accéder à l'ancien site AA@AA.com).

 

Je souhaiterais donc avoir le même comportement par le biais du VPN tout en gardant si possible le Split Tunneling pour avoir internet avec la box adsl (perso).

 

Merci d'avance pour vos retours,

 

Content for Community-Ad

Vidéo - Webcast R&S Juillet 2020

Vidéo - Webcast R&S Février 2020

Ce widget n'a pas pu être affiché.