O usuário de acesso remoto VPN Cisco ASA5505 não pode se conectar a outra sub-rede site-a-site

Navegue suas respostas
3

Estou conectando-me a um ASA5505 de casa à sede usando L2TP VPN.

Sede e depois se conecta a outro escritório através de um túnel IPSEC site-to-site.

Quando na matriz (192.168.100.0/24) posso fazer ping / acessar o escritório remoto (192.168.200.0/24) OK.

Quando conectado remotamente à matriz, posso acessar / acessar o escritório da matriz do computador portátil.

Meu problema é que, quando conectado remotamente de casa à matriz, não consigo acessar / pingar a sub-rede de outro escritório

No laptop doméstico, a conexão VPN L2TP está configurada para rotear todo o tráfego para a conexão VPN usando o HQ como gateway da Internet. Posso confirmar que isso funciona.

Eu não posso fazer traceroute (recebo tempos limite), pois minha política não permite e não tenho certeza de como habilitar isso corretamente no ASA.

Qualquer ideia do que está errado, a configuração está abaixo: 

names
name 192.168.200.0 othersite
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.100.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 34.35.36.3 255.255.255.252
!
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0
access-list inside_nat0_outbound extended permit ip any 192.168.100.0 255.255.255.0
access-list outside_1_cryptomap extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0
access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.100.0 255.255.255.0
access-list outside_in_acl extended permit icmp any any echo-reply
access-list outside_in_acl extended permit tcp any interface outside eq smtp
ip local pool VPNLAN 192.168.100.210-192.168.100.240 mask 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 192.168.100.0 255.255.255.0
nat (outside) 1 192.168.100.0 255.255.255.0
static (inside,outside) tcp interface smtp 192.168.100.3 smtp netmask 255.255.255.255
access-group outside_in_acl in interface outside
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
 dns-server value 192.168.100.3
 vpn-tunnel-protocol l2tp-ipsec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl_1
tunnel-group DefaultRAGroup general-attributes
 address-pool VPNLAN
 default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
 no authentication chap
 authentication ms-chap-v2
tunnel-group 40.35.36.122 type ipsec-l2l
tunnel-group 40.35.36.122 ipsec-attributes
 pre-shared-key *****
    
por g18c 17.07.2012 / 17:50

1 resposta

2

Sua ACL de túnel dividido deve abranger os endereços IP do outro site, já que esse tráfego deve ser enviado pela VPN pelo cliente. 

access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.200.0 255.255.255.0

A configuração parece boa, caso contrário. Se isso não ajudar, ative o registro no ASA e veja o que acontece quando você tenta enviar o tráfego.

    
por 18.07.2012 / 05:43

Tags

Armazenando imagens valiosas de alta resolução antes do root Cache-control para redirecionamentos 301 permanentes nginx