Cisco VPN Client и игнорирование политик ASA :: В помощь системному администратору

plab1 В общем-то вы правы. Нужно настраивать на рутере Cisco, к которому цепляетесь, split tunneling (access list-ы). Тогда на этот интерфейс будут назначаться маршруты только на те сети, которые указаны в акцесс-листе на циске. Неадекватность администраторов этой самой ASA решается докладной руководству с изложением проблемы или официальным письмом вашего руководства их руководству, если конторы разные.

P.S.
Можно поизгаляться маршрутами, но желательно глянуть таблицу рутинга командами:
route print или netstat -rn
до CISCO VPN и после. Идея такова - нужно сменить дефолт гетвей, который ciscp vpn переписывает на себя, и уточнить маршруты к сетям, к которым нужен доступ за VPN.

1) надо определить сети, которые находятся за vpn подключением
2) в каждую из сетей тебе надо прописать маршрут route add х.х.х.х mask 255.255.255.0 ip-VPN-сервера NN-интерфейса
маску пишу такую для примера, может быть любой
ip-VPN-сервера - он и ставится как деф.гейтвей с самого начала
а вот NN-интерфейса надо взять из спика интерфейсов там где будет Cisco VPN Adapter первое число в строке перевести в десятичный вид
Например
C:\>route print

IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 c0 a8 f8 b1 23 ...... Intel(R) PRO/100 VE Network Connection - SecuRemote Miniport
0x3 ...44 45 53 54 42 00 ...... Cisco VPN Adapter

то есть в данном случае будет Интерфейс номер 3 , его и указывай в командах
route add
или
route delete
или
route change
после параметра IF
Маршрут на 0.0.0.0 нужно сделать так, чтобы указывал, на тот айпи, который был изначально.
когда вручную всё настроишь, то потом запихай нужные команды в батник и выполняй его, после vpn коннекта.

----------
В сортире лучше быть юзером, чем админом...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки