Por experiência, acredito que o NAT é aplicado antes das VPNs. Eu só lidei com VPNs de infra-estrutura, o que pode ser diferente para usuários VPN.
RemoteSite (172.16.1.*)
|
Internet --- InternetUsers
|
ASA --- LocalUsers (192.168.1.*)
|
InsideNet (10.1.1.*)
|
Router
|
DeeperNet (10.22.22.*)
Eu tenho um Cisco ASA 5510 com três interfaces, dentro / fora / localusers.
No interior, há duas sub-redes, InsideNet e DeeperNet, conectadas por um roteador simples. A tabela de roteamento do ASA possui uma entrada para o DeeperNet.
Os sites remotos se conectam através de uma VPN lan-to-lan na interface externa. (Esta VPN inclui o InsideNet e o DeeperNet, portanto, um usuário do RemoteSite pode contatar os servidores no DeeperNet)
Todo o tráfego para um servidor da Web no InsideNet (10.1.1.1) precisa ser redirecionado para um servidor da Web em Deepernet (10.22.22.22) Para usuários locais, isso é feito facilmente com uma regra NAT estática:
static (inside,localusers) 10.1.1.1 10.22.22.22 netmask 255.255.255.255
Qualquer tráfego de usuários da Internet chega ao IP público do ASA, e também é fácil de lidar com uma regra NAT estática.
static (inside,outside) 203.203.203.203 10.22.22.22 netmask 255.255.255.255
Onde estou tendo problemas é com os usuários da VPN. Não sei exatamente como a funcionalidade da VPN interage com o NAT e qual a ordem NAT & VPN é aplicada a um ASA.
Como eu configuro uma regra NAT estática para que qualquer RemoteUsers que envie dados para 10.1.1.1 através da VPN seja redirecionado para 10.22.22.22?
Este NAT entra em vigor antes ou depois da seleção de tráfego VPN? (isto é, se a VPN foi configurada como RemoteSite < - > InsideNet somente trafegaria para 10.1.1.1 e seria NATTed para o DeeperNet IP, ou o ASA olharia para os IPs reais e decidiria que não faz parte da VPN ?)
Por experiência, acredito que o NAT é aplicado antes das VPNs. Eu só lidei com VPNs de infra-estrutura, o que pode ser diferente para usuários VPN.
Tags networking cisco nat cisco-vpn cisco-asa