URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16237
[ Назад ]

Исходное сообщение
"Добавить маршрут для удаленных клиентов vpn"
Отправлено KOCTO4KA , 10-Май-08 20:19

Есть asa, есть несколько клиентов в разных концах земли, vpn настроен, все работает как часы, но вот незадача - при подключении vpn клиент ставит на клиентскую машину дефолтный маршрут на asa, а это значит, что сеть клиента сразу же становится для него недоступной :(
Это как то некашерно... Так вот собственно и вопрос появился - как и где порписать на asa, чтобы железка выдавала клиенту не дефолтный маршрут 0.0.0.0 0.0.0.0 а маршрут только на мою сеть по типу 10.122.0.0 255.255.0.0 через что-то там... При таком расткладе ведь клиент сможет лазить и по моей сетке и по своей насколько я понимаю... Что мне и нужно, ибо у клиента принтеры сетевые и он печатать не могет толком

Содержание

Добавить маршрут для удаленных клиентов vpn,CrAzOiD, 02:40 , 11-Май-08
- Добавить маршрут для удаленных клиентов vpn,KOCTO4KA, 10:59 , 11-Май-08
  - Добавить маршрут для удаленных клиентов vpn,KOCTO4KA, 11:00 , 11-Май-08

Сообщения в этом обсуждении

"Добавить маршрут для удаленных клиентов vpn"
Отправлено CrAzOiD , 11-Май-08 02:40

>[оверквотинг удален]
>ставит на клиентскую машину дефолтный маршрут на asa, а это значит,
>что сеть клиента сразу же становится для него недоступной :(
>
>Это как то некашерно... Так вот собственно и вопрос появился - как
>и где порписать на asa, чтобы железка выдавала клиенту не дефолтный
>маршрут 0.0.0.0 0.0.0.0 а маршрут только на мою сеть по типу
>10.122.0.0 255.255.0.0 через что-то там... При таком расткладе ведь клиент сможет
>лазить и по моей сетке и по своей насколько я понимаю...
>Что мне и нужно, ибо у клиента принтеры сетевые и он
>печатать не могет толком
ipsec или pptp?
если pptp то тока руками на клиенте, или скрипт
если ipsec с Cisco VPN Client, тогда гугли цискоком на предмет split tunneling

"Добавить маршрут для удаленных клиентов vpn"
Отправлено KOCTO4KA , 11-Май-08 10:59

>[оверквотинг удален]
>>маршрут 0.0.0.0 0.0.0.0 а маршрут только на мою сеть по типу
>>10.122.0.0 255.255.0.0 через что-то там... При таком расткладе ведь клиент сможет
>>лазить и по моей сетке и по своей насколько я понимаю...
>>Что мне и нужно, ибо у клиента принтеры сетевые и он
>>печатать не могет толком
>
>ipsec или pptp?
>если pptp то тока руками на клиенте, или скрипт
>если ipsec с Cisco VPN Client, тогда гугли цискоком на предмет split
>tunneling
Спасибо :) Оказывается решалось все довольно просто - надо создать ACL с сеткой в которую надо прописать маршрут и в group-policy добавить строчку
split-tunnel-network-list value ACL_который_прописал

"Добавить маршрут для удаленных клиентов vpn"
Отправлено KOCTO4KA , 11-Май-08 11:00

Но это соответственно только для IPSec :)
А то и вправду только скриптами и т.п. геммором