root99 писал(а):
без комментариев, полный абсурд!
К чему так категорично?
Когда-то давно в какой-то умной книжке по безопасности (возможно даже Cisco-вской)
вполне определенно было написано, что в принципе Wi-Fi - это untrusted zone.
(Надеюсь не нужно объяснять почему?)
И с точки зрения высоких стандартов, VPN через него - это нормально.
Другое дело, что большинству пофигу на высокие стандарты, типа "и так сойдет".
И, в общем-то, в 95% случаев это вполне оправдано. Никто не будет так корячится,
чтобы посмотреть, каких котиков постит МарИванна, и сколько колготок они продали.
Но остается еще 5%, и решать это ТС, т.к. он знает ситуацию.
dezhnevo писал(а):
Я спросил про техническую возможность, выйти из под белого IP туннелем
и зайти на него же во внутреннюю сеть. Это возможно?
Это как-то уж очень закручено.
Чисто технически тут видится два варианта:
1. Вынести Wi-Fi за периметр, в сегмент адресов провайдера (outside).
Тут вообще ничего донастраивать не придется.
Но это только если адресов много, а юзеров мало. Да и юзеры снаружи это не есть хорошо.
2. Выделить Wi-Fi в отдельный сегмент и повесить на отдельный int wifi (security level 50).
И настроить VPN с доступом из wifi в inside.
Но тут вопрос - возможно ли иметь на ASA два VPN instance?
Кто в теме, подскажите, pls.
К сожалению сейчас под рукой нет свободной железки, чтобы попробовать.