O cliente externo possui uma solução SSL VPN chamada "SSL Explorer", é um aplicativo baseado em servidor que é executado em hosts DMZ.
Como o software foi anunciado como sendo de fim de vida, queremos migrar para o ASA WebVPN.
No momento, há um registro DNS "ssl.customer.ch" apontando para xx.xx.xx.68 / 29 . Não queremos alterar o registro DNS para manter o tempo de inatividade da migração o mais baixo possível.
O próprio ASA tem o endereço IP xx.xx.xx.66 / 29 na interface externa.
Se eu vou configurar WebVPN via ASDM com o assistente, parece que o endereço IP para acessar WebVPN não pode ser alterado, é sempre o endereço IP na interface que você escolher, nesse caso, o endereço IP externo xx.xx.xx.66.
Minha pergunta é como posso acessar o WebVPN através do endereço IP xx.xx.xx.68 / 29, um endereço IP diferente do endereço IP externo?
Aqui está o que eu já tentei:
1) crie uma segunda (sub) interface na interface externa e configure xx.xx.xx.68 / 29 como endereço IP.
- > não funciona porque a sub-rede se sobrepõe. (talvez funcionasse, se eu sub-redes, a sub-rede novamente, mas do que eu perderia os endereços IP necessários, por isso não é uma opção)
Eu também tentei um tipo de instrução NAT que deve redirecionar x.x.x.68: 443 para x.x.x.66: 443
static (outside,outside) tcp interface 443 xx.xx.xx.68 443 netmask 255.255.255.255 tcp 0 0 udp 0
access-list outside_access_in line 9 remark Erlaubt WebVPN auf xx.xx.xx.68 fuer redirect auf xx.xx.xx.66 (outside IP von ASA)
access-list outside_access_in line 10 extended permit tcp host xx.xx.xx.68 host xx.xx.xx.66 eq https
mas se fizer um rastreamento de pacote
packet-tracer input outside tcp 80.41.25.6 12345 217.192.168.68 443 xml
diz-se que a implicitamente negar qualquer uma no final da ACL externa bloqueia o tráfego.
alguma ideia?