Static Rutt fungerar inte för SSLVPN-klienter

VPN
1

Hej allihopa,

Jag har en plats med en NSA 2700 installerad. X0-nätverket är ett 10.10.20.0/24 nätverk:

ISP Fiber → Sonicwall NSA 2700 → Core Switch → Arbetsstationer

På detta nätverk finns också en nyinstallerad Cisco ASA som tillhandahållits av en tredje part. LAN-IP för denna ASA är på samma 10.10.20.x-nätverk. Denna ASA har en site-to-site VPN-tunnel till en annan ASA som är placerad utanför platsen. Denna tunnel kan endast nås av enheter på detta 10.10.20.x-nätverk.

Jag skapade en statisk rutt för enheter på detta LAN att använda S2S VPN-tunneln för att få tillgång till de fjärrresurser som finns på andra sidan av tunneln och allt fungerar korrekt för alla arbetsstationer på detta 10.10.20.x-nätverk.

Mitt problem är att jag har ett antal bärbara datorer som använder NetExtender för att SSLVPN in i nätverket och den statiska rutten fungerar inte för dem. Dessa bärbara datorer får en IP på samma 10.10.20.x-nätverk med hjälp av det Address Object jag skapade för SSLVPN-poolen. Jag såg till att klientrutterna för SSLVPN-klienterna inkluderade både LAN-segment och det fjärrnätverket, men det verkar fortfarande inte fungera.

Några idéer?

2

Kör en pcap. Jag skulle tippa på att du inte lade till nätverket till “VPN Access”-sektionen i Användare och Grupper.

3

detta

du måste lägga till det fjärrnätverket(i) till din tillåtna VPN-åtkomstlista, och skapa en åtkomstregel för att tillåta Från:SSLVPN - Till:ASA-fjärrnätverket om du inte redan gjort det.

4

Tack för hjälpen! I min frustration glömde jag helt att köra en paketupptagning. Jag såg till att det fjärrnätverk som lades till i tillåten lista för VPN Access-listan samt i Local User-listan. Jag körde en paketupptagning och såg en stor mängd avvisade paket (Drop Code 502 - IP Spoof) mellan de bärbara datorerna och DNS-servern.

Jag ändrade SSLVPN-poolen till att ge VPN-klienterna IP:er från ett helt annat nätverk istället för IP:er från huvudnätverket 10.10.20.x. När jag gjorde det försvann IP Spoof-dropped-paketen. Förhoppningsvis är det den slutgiltiga lösningen.

5

Bra jobbat och tack för att du delar med dig! Jag kan se mig själv råka ut för detta i framtiden.