这是ASA 8.4的远程访问VPN的正确配置吗？

Question

第一次将远程访问VPN配置为8.3 / 8.4，所以NAT和VPN命令对我来说有点不同。

下面是VPN配置和IP空间中对无NAT的共同响应NAT。如果有人能看一看，如果我遗漏了什么，请告诉我。网络是192.0.0.0 / 24公顷，不是一个错误。

crypto ikev1 enable outside

crypto ikev1 policy 10
encryption 3des
authentication pre-share
hash sha

access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
access-list SPLIT-TUNNEL-VPN standard permit 192.0.0.0 255.255.255.0

group-policy REMOTE-VPN-GP internal
group-policy REMOTE-VPN-GP attributes
vpn-tunnel-protocol ikev1
address-pools value REMOTE-VPN-POOL
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-TUNNEL-VPN
dns-server value 192.0.0.201

tunnel-group REMOTE-VPN-TG type remote-access
tunnel-group REMOTE-VPN-TG general-attributes
default-group-policy REMOTE-VPN-GP
authentication-server-group LOCAL

tunnel-group REMOTE-VPN-TG ipsec-attributes
ikev1 pre-shared-key **********

ip local pool REMOTE-VPN-POOL 192.0.1.1-192.0.1.100 mask 255.255.255.0

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map OUTSIDE-DYNMAP 65535 set ikev1 transform-set ESP-3DES-SHA

crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic OUTSIDE-DYNMAP
crypto map OUTSIDE_MAP interface outside

//无NAT子网

object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0

object network VPN_LAN
subnet 192.0.1.0 255.255.255.0

nat (inside,outside) source static INSIDE_LAN INSIDE_LAN  destination static VPN_LAN VPN_LAN

或者我这样做是为了没有纳特：

nat (inside,outside) 1 source static any any destination static VPN_LAN VPN_LAN

我的NAT目前被设置为：

object network LAN_NAT
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface

Answer 1

如果192.0.0.0/24是您的内部接口/局域网，那么192.0.1.0/24是什么？

您已经将VPN_LAN的对象名指定给192.0.1.0/24子网了吗？但是，您将远程访问VPN地址池定义为10.1.2.140-10.1.2.145.分配给客户端VPN适配器的地址将在10.1.2.140-10.1.2.145的范围内。

我将假设不需要192.0.1.0/24，您的内部是192.0.0.0/24，您的VPN客户端适配器将从10.1.2.140-10.1.2.145池中提取IP --您可能只想制作这个10.1.2.0/24 --但是我将继续使用您现有的池。

您可以使用以下方法配置内部出站动态接口PAT安装程序。当您可以在LAN_NAT对象中定义动态接口PAT时，您已经创建了另一个INSIDE_LAN对象--它们出现在配置的两个不同部分(子网定义和对象NAT)，但是(和可以)仍然定义在同一个对象中。

object network INSIDE_LAN
 subnet 192.0.0.0 255.255.255.0
 nat (inside,outside) dynamic interface

下面是一个网络对象，它表示作为池的IP块。不会将池本身重新定义为ip local pool。

object network RAVPN_POOL
 subnet 10.1.2.0 255.255.255.0   ! adjust this and pool itself to meet needs

将您的标识NAT (无nat)配置如下--不是在对象中，而是在两次NAT中。

nat (inside,outside) source INSIDE_LAN INSIDE_LAN destination static RAVPN_POOL RAVPN_POOL description [[ Inside to RA Identity NAT ]]

假设我了解您的设置，那么您就可以摆脱LAN_NAT和VPN_LAN对象以及SPLIT-TUNNEL-VPN ACL中的192.0.1.0/24条目。

no access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
no object network LAN_NAT
no object network VPN_LAN

当将P1定义为3 3DES/SHA的P2定义为3 3DES/SHA时，您的P1/IKE策略还需要考虑一些额外的问题-3 3DES/MD5。