来自DMZ的出站VPN连接，无需使用jumpserver

Question

我使用思科Asa 5505，但我不认为它与我的问题有任何关系。

我有两个VLAN:s在我的ASA里面(192.168.1)和DMZ(10.10.0.)在我的DMZ中，我有一个主机作为PPTP/VPN客户端，它基本上连接到一个VPN 24/7。

我的问题是，当主机连接到VPN连接时，我不能从内部网络直接连接到主机？(如果主机没有连接到VPN，它就能工作)

现在我使用驻留在DMZ区域的jumpserver，它可以工作，我可以从内部连接->jumpserver-> vpn客户端服务器，同时连接到vpn连接。

但是，我希望能够在主机连接到VPN时连接到主机，而不首先使用jumpserver。

这个是可能的吗？如果是的话，怎么做？

为什么只有驻留在同一子网上的主机在连接到VPN时才能连接到主机？

Answer 1

这可能是因为vpn客户端通过隧道路由除本地子网之外的所有内容。要解决这个问题，您需要配置vpn前端以执行拆分隧道操作，或者将asa配置为从内部执行NAT到dmz。