CiscoのASAで、VPN接続ユーザを通常とは異なるデフォルトゲートウェイに向けさせる方法について検証しました。
どんな場合に設定するか?
社内にインターネット向けのゲートウェイが複数あり、
ゲートウェイをVPN接続ユーザと通常の社内ユーザとで分ける場合などに設定します。
構成
下記図のような構成です。
通信フローイメージ
下記図のように、通常の社内ユーザはASA側からインターネットにアクセスを行い、
VPN接続ユーザはASAとは別のFWからインターネットにアクセスを行います。
設定方法
※スプリットトンネルが設定されていない前提です。(VPN接続ユーザの全通信がASAを経由する)
何も設定しない場合は、VPN接続ユーザの通信はASA経由でインターネットに出ていきます。
以下のルーティング設定を入れることで、インターネットアクセスを別のゲートウェイに向けることができます。
1.ASDMから「Device Setup」→「Routing」→「Static Routes」にアクセスを行います。
2.ルーティングの追加(Add)を行います。
3."Option"から「Tunneled」を選択し、Gateway IPにVPN接続ユーザのインターネット通信を向けるゲートウェイIPを設定します。
4.Apply、Saveを行います。
以上で完了です。