le 23-03-2020 03:31 PM - dernière modification le 24-03-2020 06:43 PM par Jimena Saez
Nos experts
Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.
Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.
Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : VPN, ASA, Firepower, FTD, AnyConnect, Duo, Umbrella, WFO, licenses et meilleures pratiques.
Posez vos questions du 20 mars au 3 avril 2020.
** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !
le 02-04-2020 02:38 PM
Je suppose que c'est l'ASA.
Vous auriez besoin des commandes suivantes pour accéder à Internet.
Nous devons épingler le trafic pour les utilisateurs d'AnyConnect.
same-security-traffic permit intra-interface
object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
où "obj-AnyconnectPool" est le réseau AnyConnect Pool.
le 02-04-2020 02:41 PM
C'est une tête de réseau ASA car j'ai déjà le trafic intra-interface autorisé.
Je peux essayer le NAT que vous proposez. Ayant du mal à imaginer comment cela permettra au trafic de pénétrer à l'intérieur, j'essaierai dans une heure.
Je vous remercie.
* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 02-04-2020 02:47 PM
Le NAT que je vous propose permet l'accès à Internet aux utilisateurs d'AnyConnect, puisque vous avez mentionné qu'ils perdaient l'accès à Internet avec TunnelAll une fois qu'ils se connectaient à AnyConnect.
Pour l'accès interne, vous pouvez exempter le trafic AnyConnect à l'aide de ce NAT:
nat (inside,outside) source static any any destination static obj-Anyconnect obj-Anyconnect
Cordialement,
Aditya
le 02-04-2020 03:50 PM
Avec TunnelAll, tous peuvent-ils avoir accès à l'intérieur et être autorisés pour Internet, mais le trafic sortant de l'ASA pour Internet et non de leur réseau domestique, est-ce cela ?
Aussi en ce qui concerne le routage, ajouteriez-vous une route là dans l'ASA ou bien faut-il injecter une route down stream comme suggéré ?
* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 02-04-2020 04:02 PM
C'est correct.
TunnelAll signifie que le trafic doit atteindre la tête de réseau (ASA) et à partir de là, nous acheminons le trafic (avec l'utilisation de Dynamic PAT sur l'interface extérieure) vers Internet.
Vous auriez besoin d'une route inverse (pour le pool) sur le périphérique en aval (down stream).
Quelque chose comme ça:
ip route x.x.x.x mask <ASA inside interface IP>
Cordialement,
Aditya
le 02-04-2020 04:10 PM
J'utilise déjà ce NAT pour l'accès interne. Comment puis-je permettre au pool IP pour AnyConnect d'être autorisé à Internet via le périphérique de tête de réseau ?
Le client se connecte sur AnyConnect - Il reçoit une adresse IP du pool IP AnyConnect.
Avec le NAT ci-dessous, ils peuvent atteindre les réseaux internes mais non pas Internet. [J'ai remplacé le "any" par un groupe d'objets interne.]
nat (inside,outside) source static any any destination static obj-Anyconnect obj-Anyconnect
Question:
Qu'est-ce qu'il faut exactement pour permettre à "AnyConnect IP pool" d'aller aussi sur Internet? Parce que ce NAT ne permet pas au client de sortir sur Internet.
* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
02-04-2020 04:18 PM - modifié 02-04-2020 04:19 PM
Salut,
Le guide suivant détaille toutes les étapes nécessaires pour y parvenir :
Veuillez jeter un coup d'œil et faites-nous savoir si vous avez des questions.
02-04-2020 04:22 PM - modifié 02-04-2020 04:23 PM
Je l'ai déjà mentionné dans mon post précédent.
Utilisez ce NAT:
object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
le 02-04-2020 04:25 PM
Nous avons donc 2 instructions NAT pour le pool IP AnyConnect ?
* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 02-04-2020 04:27 PM
Oui, un pour l'accès au réseau interne et un pour l'accès à Internet.
le 02-04-2020 04:31 PM
Je voulais vous dire MERCI.
Le dernier lien que vous avez fourni, c'est exactement ce dont j'avais besoin!
Je dois encore comprendre le routage back-end mais je suis très heureux d'annoncer qu'AnyConnect fonctionne dans la configuration TunnelAll pour moi grâce à vous.
Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 06-04-2020 03:39 PM
Heureux d'aider.
le 06-04-2020 03:41 PM
Je souhaite envoyer du matériel audio que j'ai sur mon ordinateur aux participants à mes réunions. Je veux qu'ils puissent écouter les extraits que j'ai sélectionné. Est-ce possible?
* Voici la traduction d'un message créé à l'origine par ORI1ori1 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 06-04-2020 03:42 PM
Veuillez poster cette requête sur le forum Collaboration :
06-04-2020 03:46 PM - modifié 07-04-2020 04:34 PM
Bonjour,
J'ai besoin de créer un nouveau VLAN02 pour le WIFI guest (invité) et de configurer certaines règles pour restreindre l'accès à une adresse IP.
Mon ASA5506 est en mode BVI.
Les interfaces ASA actuelles sont comme ceci;
BVI1 – inside
GIG1/1 - outside -
GIG1/2 - inside_1 -
GIG1/3 - inside_2 -
GIG1/4 - inside_3 -
GIG1/5 - inside_4 -
GIG1/6 - inside_5 -
GIG1/7 - inside_6 -
GIG1/8 - inside_7 -
Management1/1 -
Je veux attribuer GIG1/5 pour VLAN02 en tant que Wi-Fi invité et attribuer une adresse IP pour ce nouveau VLAN.
* Voici la traduction d'un message créé à l'origine par saids3 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
Découvrez et enregistrez vos notes préférées. Revenez pour trouver les réponses d'experts, des guides étape par étape, des sujets récents et bien plus encore.
Êtes-vous nouveau ici? Commencez par ces conseils. Comment utiliser la communauté Guide pour les nouveaux membres
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français