Ahoj,
Konfigurace VPN na ASA by měla být teoreticky docela jednoduchá, ale zasekl jsem se.. Je to 5506-X s verzí 9.15(1)7
Máme server běžící za ASA, kterému chceme umožnit přístup podle jeho fqdn jak pro místní, tak VPN klienty. Nemáme nakonfigurovaný místní DNS a doufal jsem, že ho nebudu muset nastavovat jen kvůli tomu. Co činí věc složitější je, že nechceme, aby byl server veřejně dostupný.
Momentálně mohou všichni přistupovat ke serveru přes fqdn, ale musím přidat veřejou IP adresu VPN klientů do ACL povolení, jinak jsou blokováni, jak ukazuje log:
access-list outside-in denied tcp outside/46.**.**.**(38134) → LAN/192.168.80.60(443)
Pokud použijí https://192.168.80.60, přistupují správně, ale při použití https://server.example.com jsou blokováni ACL.
Konfigurační NAT jsou:
nat (LAN,LAN) source dynamic LAN_NET interface destination static WAN-IP SERVER service https https
nat (outside,LAN) source static any interface destination static interface SERVER service https https
*nat (outside,LAN) source static vpn vpn destination static LAN_NET LAN_NET
Máme povolené “sysopt connection permit-vpn”, “same-security-traffic permit inter-interface” a “same-security-traffic permit intra-interface” a konfigurace Crypto jsou:
*crypto dynamic-map dyno 10 set ikev1 transform-set ESP-AES-256-SHA ESP-AES-256-SHA-TRANS
crypto dynamic-map dyno 10 set ikev2 ipsec-proposal AES_GCM256 AES256-512 AES256-256
crypto dynamic-map dyno 10 set reverse-route
crypto map vpn 20 ipsec-isakmp dynamic dyno
Někteří VPN klienti mají statické IP, takže ty lze jednoduše přidat do ACL ručně, ale ti s dynamickou IP musí využívat IP adresu serveru, dokud to nevyřeším.. Četl jsem většinu CLI-manua a zkoušel sledovat různé návody, ale ať dělám cokoliv, stále ukazují jejich veřejnou IP jako zdrojovou při používání fqdn.
Existuje nějaký způsob, jak povolit všem VPN klientům používat fqdn?