Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 08:01



Ответить на тему  [ Сообщений: 6 ] 
Доступ к интернет ресурсам через соединение AnyConnect 
Автор Сообщение

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Доброго времени суток всем. В современных реалиях удаленки появился тупой вопрос
Изображение
Имелась рабочая схема удаленки через AnyConnect, но прогресс не стоит на месте и начальство часть ресурсов решила аутсорсить. Так появился внешний WEB ресурс.
Внешнии партнеры для нашей же безопасности фильтруют доступ через интернет по IP адресам. Для 20 человек которые работают в офисе все работает замечательно, потому как в фильтре прописан адрес outside интерфейса в который все натится из LAN. А вот для полутора сотен сотрудников работающих из дома (чаще всего с какими то переначеными серыми адресами и динамикой) внешний веб ресурс недосутупен. Партнер отказывается прописывать дополнительные адреса в фильтрацию, и я его понимаю

На ASA прописано правило нат
nat(any,outside) source dynamic any interface

в сплит тунель добавлен адрес WEB ресурса
на клиенте появился маршрут через впн

Что то я не могу сообразить как завернуть трафик пользователей аниконект в интернет через тот же интерфейс через который они пришли


02 апр 2021, 09:31
Профиль

Зарегистрирован: 14 мар 2012, 15:48
Сообщения: 327
насколько я читал - никак


02 апр 2021, 13:40
Профиль

Зарегистрирован: 17 дек 2019, 07:39
Сообщения: 2
Схема вполне рабочая.
У меня отличие в том что нет сплита и весь трафик от аников идет в мир через асу.
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
ну и далее правила ната и фильтрации.


02 апр 2021, 14:37
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
valu писал(а):
Схема вполне рабочая.
У меня отличие в том что нет сплита и весь трафик от аников идет в мир через асу.
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
ну и далее правила ната и фильтрации.

Ай спасибо добрый человек
Я знал что это просто делается, но сам ленивец искать не стал


02 апр 2021, 14:59
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
CrAlex писал(а):
valu писал(а):
Схема вполне рабочая.
У меня отличие в том что нет сплита и весь трафик от аников идет в мир через асу.
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
ну и далее правила ната и фильтрации.

Ай спасибо добрый человек
Я знал что это просто делается, но сам ленивец искать не стал

только учтите, что удаленщики должны быть сознательны
Я проводил эксперимент и группе пользователей завернул весь интернет через АСА, видели бы вы что показал netflow в итоге (куча видеопомоек и онлайн игры это еще полбеды). Как то администраттивно воздействовать на это не получилось/не захотели. Теперь котлеты отдельно, мухи отдельно..


02 апр 2021, 15:02
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
aliotru писал(а):
CrAlex писал(а):
valu писал(а):
Схема вполне рабочая.
У меня отличие в том что нет сплита и весь трафик от аников идет в мир через асу.
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
ну и далее правила ната и фильтрации.

Ай спасибо добрый человек
Я знал что это просто делается, но сам ленивец искать не стал

только учтите, что удаленщики должны быть сознательны
Я проводил эксперимент и группе пользователей завернул весь интернет через АСА, видели бы вы что показал netflow в итоге (куча видеопомоек и онлайн игры это еще полбеды). Как то администраттивно воздействовать на это не получилось/не захотели. Теперь котлеты отдельно, мухи отдельно..

Ну вот по этой причине я сплит тунелинг и пользую :) уже проверил уже работает начальство уже довольно


02 апр 2021, 15:18
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 6 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 49


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB