由于公司是内外网物理隔离,所以公司的OA系统只能在内部使用。但是大领导要求在家也能看到OA,于是在OA服务器上启动了另一块网卡,连接到外网的交换机上,并且配置了IP地址,通过在cisco ASA5510防火墙上做SSL vpn可以进行访问,但是出现了个问题,现在的笔记本自带的大多是win7的系统,经查,该款防火墙的ssl vpn不支持win7,即使下载了所说的支持win7的client,也还没有成功。于是只能选择稍微不安全的一种方法就是进行端口映射,把OA服务器的www端口映射出去,时常更换一下端口就可以了。此种方法不受系统的影响,可以正常访问。后来由于公司网络改造,上了三层设备,重新划分了vlan,OA服务器的内网IP地址也进行了更改(以前只是一个网段,都没设置网关),并且OA系统又增加了一些新的功能。
最近领导突然说外网登陆不了OA了,让查原因。发现通过vpn还是可以登陆,但是端口映射的方式确实登陆不了。但是网络配置没有更改过,怎么突然就登陆不了了呢?我又用相同的配置进行其他机器的端口映射,能够正常使用,相关配置如下
static (inside,outside) tcp interface 1111 10.10.10.222 www netmask 255.255.255.255 -----该条是OA端口映射
static (inside,outside) tcp interface 1221 10.10.10.111 3389 netmask 255.255.255.255 ----该条是后来增加的一条测试的端口映射
一样的格式,后者就能正常使用,前者就不行。
咨询了cisco方面的朋友,都表示如此配置没有问题,那问题就应该出现在服务器端的配置。咨询OA厂家,是否对端口做了什么安全措施,回答也没有。静下心来考虑一下,这之间做过改动的也就是IP地址的配置和OA增加新功能而已,既然厂家保证没有相应的措施,那么问题应该出现在IP地址上。为了验证我的想法,把内网的IP地址禁用,在外网登陆,正常!看来就是IP地址惹的祸,由于之前内网就一个网段,所以没有设置网关,外网的网卡设置了网关,后来增加了三层交换机,划分了vlan,设置了网关,导致一个机器出现了两个网关,数据不知道如何进行转发。在网上查找相关资料,进行手工设置网关,在服务器上进行具体配置如下:
route delete 0.0.0.0 // 删除默认网关
route -p add 0.0.0.0 mask 0.0.0.0 10.10.10.1 // 增加默认网关到外网的网关
route -p add 10.20.0.0 mask 255.255.0.0 10.20.20.254 // 内网的地址走内网的网关
经试验,正常使用。