Cisco ASAVPN-リモートサイトからメインサイトのISPを介してすべてのインターネットトラフィックをルーティングします

トラフィックを許可するようにトンネルポリシーを制御するACLを変更します。

サイトA：

access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts
no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts

サイトB：

access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any
no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts

このトンネルを通過するトラフィックは、外部インターフェイスに到達し、復号化されて、外部インターフェイスから直接戻ってきます（これがWebフィルターで機能することを願っています！）。したがって、これも考慮する必要があります。

（構成の免責事項：これは8.2構成です。それに応じて調整してください）

same-security-traffic permit intra-interface
nat (outside) 1 10.X.X.0 255.255.255.0

これが適切に行われると、すべてのトラフィックが暗号化ポリシーをキャッチし、トンネルは0.0.0.0/0のローカル/リモートネットワークで構築されます。

testasa# show crypto ipsec sa
interface: outside
    Crypto map tag: outside_map, seq num: 100, local addr: X.X.X.X

      access-list outside_cryptomap_A permit ip any object-group site_b_hosts
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.X.X.0/255.255.255.0/0/0)
      current_peer: test-endpoint-public

      #pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719
      #pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626