Настройка оборудования Cisco

Суть вопроса: При удаленном доступе через outside интерфейс, вы можете пинговать хосты за интерфейсом inside, а вот сам интерфейс не можете, как и попасть на него по SSH/ASDM Чтоб такого не происходило, надо прописать management-access inside

Тестирую AnyConnect на ASA5505 Скоро опишу как это настраивать

Проверено на ASA5505 8.4 Суть в том что простая и понятная команда nat(inside) 0 ну и дальше что выключаем, пропала. Теперь надо использовать странно-непонятную группу команд: Первое, описываем сеть с которой уходит трафик, например сеть 172.16.4.0/24 object network NET_INSIDE subnet 172.16.4.0 255.255.255.0 теперь опишем сеть на которую уходит трафик, например сеть 192.168.77.0/24 object network NET_VPN subnet 192.168.77.0 255.255.255.0 А теперь волшебная команда nat (inside,outside) source static NET_INSIDE NET_INSIDE destination static NET_VPN NET_VPN

Включаем в список доступа NONATACL (адреса которые не надо натить) адреса клиентов access-list NONATACL extended permit ip 192.168.1.0 255.255.255.0 192.168.20.0 255.255.255.0 Создаем список доступа для расщепленного роутинга (чтоб интернет был локальный) access-list SPLITACL standard permit 192.168.1.0 255.255.255.0 Создаем пул адресов для клиентов ip local pool VPN_RA_POOL 192.168.20.2-192.168.20.10 mask 255.255.255.0 Опишем вторую фазу crypto ipsec transform-set DTSET esp-3des esp-md5-hmac Создаем динамическую крипто карту crypto dynamic-map DMAP 10 set transform-set DTSET crypto dynamic-map DMAP 10 set reverse-route Подключем ее к существующей статической карте crypto map SMAP 100 ipsec-isakmp dynamic DMAP Опишем групповую политику group-policy REMACCESS_P internal group-policy REMACCESS_P attributes vpn-tunnel-protocol IPSec password-storage enable split-tunnel-policy tunnelspecified split-tunnel-network-list value SPLITACL Теперь создадим тунельную группу tunnel-group REMACCE

Итак, есть две сети, предположим 192.168.1.0/24 и 192.168.2.0/24 ASA1: Внешний (якобы) IP 10.10.10.1 Сеть 192.168.1.0/24 ASA2 Внешний (якобы) IP 10.20.20.1 Сеть 192.168.2.0/24 Начнем: создадим список доступа для запрета NAT и собственно запретим NAT access-list NONATACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 Создадим список доступа для VPN access-list VPNACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 Теперь опишем крипто карту и параметры фазы 1 и фазы 2 Первая фаза crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 Вторая фаза crypto ipsec transform-set TSET esp-3des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map SMAP 10 match address VPNACL crypto map SMAP 10 set peer 10.20.20.1 crypto map SMAP 10 set transform-set TSET crypto map SMAP 20 set pfs group2 Теперь создадим туннельную г