ASA 8.x : AnyConnect VPN доступ к ресурсам локальной сети

В данной статье речь пойдет о МЭ Cisco ASA, о том как можно сравнительно недорого и удобно организовать удаленный доступ в локальную сеть вашего офиса.

Почему же все-таки Cisco? Думаю этот вопрос не встанет у тех, кто хоть раз использовал оборудование данного вендора в своем бизнесе. Я не стану описывать преимущества или недостатки, это слишком личное, каждый видит по-своему. Мой выбор пал на Anyconnect VPN, как на самое оптимальное решение для удаленного подключения в корпоративную сеть, потому что VPN подключение устанавливается через HTTPS. На данный момент Anyconnect VPN поддерживает ОС Windows (иногда работает даже на Windows Server, хотя поддержка такового у циски явно не указана), Linux, MacOS.

Мы заказываем себе Cisco ASA5505 и покупаем лицензии Anyconnect Essential = 25 VPN подключений за 100$, что может быть доступнее из качественного оборудования? При чем, обратите внимание, что если у вас Cisco ASA 5510, то там вы получаете 250 VPN подключений за те же 100$, я думаю что это очень удобно!

Переходим к настройке:

# это наша локальная сеть, у вас может быть по-другому
interface Vlan1
 nameif inside
 security-level 100
 ip address 10.10.10.5 255.255.255.0
!
interface Vlan30
 description DMZVL-VM SERVER
 nameif dmz-vm
 security-level 55
 ip address 172.16.4.1 255.255.255.0
!
interface Vlan10
 description ISP1
 nameif outside
 security-level 10
 ip address 100.100.100.2 255.255.255.252
!
object network inside-nat
 subnet 10.10.10.0 255.255.255.0
!
object network DMZ-SEC-SUBNET
 subnet 172.16.4.0 255.255.255.0
!
# Это пул IP наших удаленных клиентов Anyconnect VPN
ip local pool SSLVPNPOOL 172.31.0.25-172.31.0.50 mask 255.255.255.0
!
# Включаем НАТ для локальной сети
object network inside-nat
 nat (inside,outside) dynamic interface
!
# Включаем НАТ для ДМЗ серверов
object network DMZ-SEC-SUBNET
 nat (dmz-vm,outside) dynamic interface
!
# не забудьте :)
route outside 0.0.0.0 0.0.0.0 100.100.100.1 1

Теперь внимание, после того, как вы включили НАТ для локальной и ДМЗ сетей, вы обнаружите, что через VPN эти сети более недоступны, что же делать в таком случае? Я отвечу, нужно использовать no_nat, ниже я покажу как это будет выглядеть на примере:

!
# Описываем наши подсети, если этого еще не было сделано
object network SSLVPN_GROUPPOOL
 subnet 172.31.0.0 255.255.255.0
object network TrustedLAN
 subnet 10.10.10.0 255.255.255.0
object network DMZ-SEC-SUBNET
 subnet 172.16.4.0 255.255.255.0
!
# Тут мы делаем no_nat для локальной сети - первая строка и для ДМЗ - вторая трока
nat (inside,any) source static TrustedLAN TrustedLAN destination static SSLVPN_GROUPPOOL SSLVPN_GROUPPOOL
nat (dmz-vm,any) source static DMZ-SEC-SUBNET DMZ-SEC-SUBNET destination static SSLVPN_GROUPPOOL SSLVPN_GROUPPOOL

Вот теперь все ресурсы будут доступны!
Дальше – больше.

Related posts:

  1. Настройка IPTV на маршрутизаторе Cisco 871 Данная статья поможет настроить IPTV тем, у кого дома стоит...
  2. SSH-доступ по ключам на Linux серверах (безпарольный доступ) Для доступа по ssh-ключам мы будем использовать открытый и закрытый...
  3. Cisco ASA: настроить ssh доступ Итак, нам нужно настроить доступ SSH для управления железкой. Приступим:...
  4. НАШИ СКРИПТЫ: DHCP LINUX Скрипт dhcp.pl используется для передачи опции DHCP ‘classless static routes’...
You can leave a response, or trackback from your own site.

Оставить комментарий

*