У меня есть ASA-5505 (v8.4) в производстве, который обрабатывает VPN-соединения и некоторые общедоступные веб-серверы. Я хотел разгрузить пользовательский HTTP-трафик на второе Интернет-соединение, поэтому я собрал устройство pfSense (2.0.2) и установил маршрут по умолчанию на ASA на pfSense, который работал для маршрутизации исходящего трафика, но я уверен, что вы догадались, что это нарушил входящий трафик на публичных IP.
Эта настройка немного над моей головой, поэтому я ищу какое-то направление по правильной конфигурации для выполнения PBR для двух глобальных сетей, но при этом оставлю ASA в смеси для обработки VPN и общедоступных IP-серверов.
Вот излишне упрощенная схема моей конфигурации, надеюсь, она имеет смысл:
ISP1 --- ISP1_IP1:WAN --\
pfSense --- LAN/172.16.0.1 --------|
ISP2 --- ISP2_IP1:OPT1 -/ |
| outside2/172.16.0.2
| |
|------ ISP2_IP2:static nat(inside,outside):10.0.0.10 -- ASA-5505 -- inside/10.0.0.0
| |
|------ ISP2_IP3:static nat(inside,outside):10.0.0.20 -----|
| |
|------ ISP2_IP4:VPN (outside IP) -------------------------|
На ASA я установил примерно следующее:
route outside2 0 0 172.16.0.1
nat (inside,outside2) source dynamic subnet_inside interface
Хм, в вашей текущей настройке похоже, что вам придется удваивать NAT для входящего трафика, если вы хотите, чтобы входящий доступ работал, а ваш VPN-трафик может больше не работать. Вам нужно будет, чтобы pfsense прослушивал общедоступные IP-адреса, а с общедоступного IP-адреса вам нужно будет NAT на pfsense в подсеть 172.16.0.0, которая находится между pfsense и ASA, и NAT в подсети 172.16.0.0 на ASA к истинной внутренней подсети 10.0.0.0 ... Довольно сложно, поскольку вам придется поддерживать 2 отдельных трансляции NAT и ACL на 2 отдельных межсетевых экранах, но это тоже довольно безопасно. Это выглядело бы так:
|.out........pfsense..........in.|.out........ASA.............in.|
public IP > NAT to 172.16.0.0 IP > 172.16.0.0 IP > NAT to 10.0.0.0
Я реализовал нечто подобное с pfsense и PIX без двойного NAT несколько лет назад, когда PIX уже обрабатывал все до того, как я реализовал pfsense. По сути, я поместил и PIX (VPN, общедоступные IP-адреса и т. Д.), И pfsense в ту же внешнюю подсеть, к которой в настоящее время был подключен PIX (общедоступная подсеть). Затем я настроил клиентов на использование внутреннего IP-адреса pfsense в качестве шлюза вместо внутреннего IP-адреса PIX. Весь их исходящий веб-трафик направляется через pfsense.
Затем я перенес внешние IP-адреса и NAT для входящего трафика, который будет обрабатываться pfsense вместо PIX, переключив шлюз внутреннего сервера с NAT на внутренний IP-адрес pfsense. Мне так и не удалось заставить VPN работать с pfsense ... но похоже, что это должно достичь вашей цели. Единственным недостатком (а может быть, и положительным моментом) было то, что внутренние клиенты и серверы были недоступны через VPN на PIX. Также это усложняется, если у вас есть несколько внутренних подсетей для внутренней маршрутизации.
Если вы просто хотите подключиться к нескольким поставщикам услуг Интернета для исходящего веб-трафика, вам может потребоваться маршрутизатор Dual-WAN вместо полноценного межсетевого экрана, такого как pfsense.