Como o tráfego de NAT para uma VPN pode vir de um IP diferente no Cisco ASA?

2

Eu tenho um firewall Cisco ASA entre nossa rede privada (10.1.0.0/16) e o mundo externo, e vários VPNS indo para sites de clientes.

Existente:

[10.1.0.2...] = source client
       |
[10.1.0.1 ASA <public>]---{other VPNs...}
                  |
                {VPN}
                  |
              [<public> Router <private>]
                                   |
                              [<private>] = destination server

Agora preciso fazer uma conexão com outra pessoa para conversar com servidores em sua organização, mas para evitar conflitos com outras partes de sua rede, preciso que meus IPs pareçam estar no intervalo 192.168.50.0/24, em vez disso de 10.1.0.0/16.

Desejado (do ponto de vista da rede remota):

[192.168.50.2...] = source client
       |
     [<?> ASA <public>]
                  |
                {VPN}
                  |
              [<public> Router <private>]
                                   |
                              [<private>] = destination server

Ainda preciso manter nossa configuração existente para todas as outras VPNs, por isso não tenho a opção de re-IPing de nossa rede interna e gostaria de criar algumas regras de NAT na Cisco.

O que eu preciso configurar para alcançar este cenário, por favor?

    
por Iain Hallam 15.05.2013 / 15:06

1 resposta

4

Iain,

O que você está se referindo é bastante comum ... você tem sub-redes internas sobrepostas que não passam o tráfego corretamente se configuradas em um túnel IPSEC VPN normal (site a site).

A idéia é fazer um NAT de política para o tráfego de VPN para alterar seu 10.1.0.0/16 para 192.168.50.0/24 se ele estiver tunelando na VPN.

A Cisco tem um excelente artigo sobre como fazer isso: VPN LAN-a-LAN com sobreposição sub-redes

Também há uma postagem no blog, se você estiver usando uma versão ASA posterior: VPN ASA com sub-redes sobrepostas

Espero que ajude.

    
por 15.05.2013 / 15:20