Configuração do Cisco ASAs WebVPN em um endereço IP diferente do que o IP externo

2

O cliente externo possui uma solução SSL VPN chamada "SSL Explorer", é um aplicativo baseado em servidor que é executado em hosts DMZ. Como o software foi anunciado como sendo de fim de vida, queremos migrar para o ASA WebVPN.

No momento, há um registro DNS "ssl.customer.ch" apontando para xx.xx.xx.68 / 29 . Não queremos alterar o registro DNS para manter o tempo de inatividade da migração o mais baixo possível.

O próprio ASA tem o endereço IP xx.xx.xx.66 / 29 na interface externa.

Se eu vou configurar WebVPN via ASDM com o assistente, parece que o endereço IP para acessar WebVPN não pode ser alterado, é sempre o endereço IP na interface que você escolher, nesse caso, o endereço IP externo xx.xx.xx.66.

Minha pergunta é como posso acessar o WebVPN através do endereço IP xx.xx.xx.68 / 29, um endereço IP diferente do endereço IP externo?

Aqui está o que eu já tentei:

1) crie uma segunda (sub) interface na interface externa e configure xx.xx.xx.68 / 29 como endereço IP. - > não funciona porque a sub-rede se sobrepõe. (talvez funcionasse, se eu sub-redes, a sub-rede novamente, mas do que eu perderia os endereços IP necessários, por isso não é uma opção)

Eu também tentei um tipo de instrução NAT que deve redirecionar x.x.x.68: 443 para x.x.x.66: 443

  static (outside,outside)  tcp interface 443 xx.xx.xx.68 443 netmask 255.255.255.255 tcp 0 0 udp 0


  access-list outside_access_in line 9 remark Erlaubt WebVPN auf xx.xx.xx.68 fuer redirect auf xx.xx.xx.66 (outside IP von ASA)
  access-list outside_access_in line 10 extended permit tcp host xx.xx.xx.68 host xx.xx.xx.66 eq https 

mas se fizer um rastreamento de pacote

  packet-tracer input outside tcp 80.41.25.6 12345 217.192.168.68 443 xml

diz-se que a implicitamente negar qualquer uma no final da ACL externa bloqueia o tráfego.

alguma ideia?

    
por sam 09.07.2010 / 12:02

1 resposta

0

Eu não vejo uma maneira de fazer isso funcionar com 2 IPs na mesma rede com um ASA: /
A melhor solução que vejo é colocar um roteador atrás do ASA para fazer o NAT ou reduzir muito o TTL do ssl.customer.ch (para reduzir o tempo de inatividade) e então mudar seu IP

    
por 09.07.2010 / 15:48