Como o tráfego de NAT para uma VPN pode vir de um IP diferente no Cisco ASA?

Question

Como o tráfego de NAT para uma VPN pode vir de um IP diferente no Cisco ASA?

#1 resposta do (4 votos)

2

Eu tenho um firewall Cisco ASA entre nossa rede privada (10.1.0.0/16) e o mundo externo, e vários VPNS indo para sites de clientes.

Existente:

[10.1.0.2...] = source client
       |
[10.1.0.1 ASA <public>]---{other VPNs...}
                  |
                {VPN}
                  |
              [<public> Router <private>]
                                   |
                              [<private>] = destination server

Agora preciso fazer uma conexão com outra pessoa para conversar com servidores em sua organização, mas para evitar conflitos com outras partes de sua rede, preciso que meus IPs pareçam estar no intervalo 192.168.50.0/24, em vez disso de 10.1.0.0/16.

Desejado (do ponto de vista da rede remota):

[192.168.50.2...] = source client
       |
     [<?> ASA <public>]
                  |
                {VPN}
                  |
              [<public> Router <private>]
                                   |
                              [<private>] = destination server

Ainda preciso manter nossa configuração existente para todas as outras VPNs, por isso não tenho a opção de re-IPing de nossa rede interna e gostaria de criar algumas regras de NAT na Cisco.

O que eu preciso configurar para alcançar este cenário, por favor?

ipsec nat cisco-asa site-to-site-vpn

por Iain Hallam 15.05.2013 / 15:06

1 resposta

Tags ipsec nat cisco-asa site-to-site-vpn

Postfix - Dovecot - Pode Enviar E-mails, Mas Não Receber - NOQUEUE - Acesso ao Reencaminhamento Negado Atualização automática de sistemas operacionais convidados de VM semelhantes

score 4 · Answer 1

Iain,

O que você está se referindo é bastante comum ... você tem sub-redes internas sobrepostas que não passam o tráfego corretamente se configuradas em um túnel IPSEC VPN normal (site a site).

A idéia é fazer um NAT de política para o tráfego de VPN para alterar seu 10.1.0.0/16 para 192.168.50.0/24 se ele estiver tunelando na VPN.

A Cisco tem um excelente artigo sobre como fazer isso: VPN LAN-a-LAN com sobreposição sub-redes

Também há uma postagem no blog, se você estiver usando uma versão ASA posterior: VPN ASA com sub-redes sobrepostas

Espero que ajude.