Primeira vez que configura VPN de acesso remoto para 8.3 / 8.4, então os comandos NAT e VPN são um pouco diferentes para mim.
Abaixo está a configuração da VPN e a correspondência entre NAT e NO NAT, o espaço IP. Se alguém puder dar uma olhada e me informar se estou perdendo alguma coisa. A rede é 192.0.0.0 / 24 ha, não um erro de digitação.
crypto ikev1 enable outside
crypto ikev1 policy 10
encryption 3des
authentication pre-share
hash sha
access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
access-list SPLIT-TUNNEL-VPN standard permit 192.0.0.0 255.255.255.0
group-policy REMOTE-VPN-GP internal
group-policy REMOTE-VPN-GP attributes
vpn-tunnel-protocol ikev1
address-pools value REMOTE-VPN-POOL
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-TUNNEL-VPN
dns-server value 192.0.0.201
tunnel-group REMOTE-VPN-TG type remote-access
tunnel-group REMOTE-VPN-TG general-attributes
default-group-policy REMOTE-VPN-GP
authentication-server-group LOCAL
tunnel-group REMOTE-VPN-TG ipsec-attributes
ikev1 pre-shared-key **********
ip local pool REMOTE-VPN-POOL 192.0.1.1-192.0.1.100 mask 255.255.255.0
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map OUTSIDE-DYNMAP 65535 set ikev1 transform-set ESP-3DES-SHA
crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic OUTSIDE-DYNMAP
crypto map OUTSIDE_MAP interface outside
// Nenhuma sub-rede NAT
object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0
object network VPN_LAN
subnet 192.0.1.0 255.255.255.0
nat (inside,outside) source static INSIDE_LAN INSIDE_LAN destination static VPN_LAN VPN_LAN
ou eu faria isso para o no nat:
nat (inside,outside) 1 source static any any destination static VPN_LAN VPN_LAN
Meu NAT está atualmente configurado como:
object network LAN_NAT
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface
Se 192.0.0.0/24 é sua dentro interface / LAN, então o que é 192.0.1.0/24 ?
Você forneceu o nome do objeto VPN_LAN à sub-rede 192.0.1.0/24 ? No entanto, você define o pool de endereços VPN de acesso remoto como 10.1.2.140-10.1.2.145 . Os endereços atribuídos aos adaptadores VPN do cliente estarão no intervalo de 10.1.2.140-10.1.2.145 .
Suponho que 192.0.1.0/24 não é necessário e que o seu dentro é 192.0.0.0/24 e que seus adaptadores clientes VPN terão IPs extraídos do 10.1.2.140-10.1.2.145 pool - você pode quero fazer isso 10.1.2.0/24 - no entanto vou continuar com o seu pool existente.
Você pode configurar a configuração de PAT da interface dinâmica de saída dentro com o seguinte. Você criou outro objeto LAN_NAT quando pode definir sua interface dinâmica PAT diretamente no objeto INSIDE_LAN - eles aparecem em duas partes diferentes da configuração (definição de sub-rede e objeto NAT), mas são (e podem) ainda definidos em o mesmo objeto.
object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface
Abaixo está um objeto de rede criado que representa o bloco de IP que é o pool. Não redefine o próprio pool, pois é ip local pool .
object network RAVPN_POOL
subnet 10.1.2.0 255.255.255.0 ! adjust this and pool itself to meet needs
Configure sua identidade NAT (sem nat) da seguinte forma - não em um objeto, mas em uma NAT duas vezes.
nat (inside,outside) source INSIDE_LAN INSIDE_LAN destination static RAVPN_POOL RAVPN_POOL description [[ Inside to RA Identity NAT ]]
Supondo que eu entenda sua configuração, você poderá se livrar dos objetos LAN_NAT e VPN_LAN e da entrada 192.0.1.0/24 na SPLIT-TUNNEL-VPN ACL.
no access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
no object network LAN_NAT
no object network VPN_LAN
Há algumas coisas adicionais a serem consideradas na sua política P1 / IKE também - 3DES / MD5 em P1 quando você tem P2 definido como 3DES / SHA é bom, mas um pouco estranho.
Tags configuration vpn nat cisco-asa