Cisco ASA - NAT-трафик VPN

Эти два утверждения нетривиально совместить: «VPN настроен на обработку трафика между [удаленными пользователями] и [Подсетью A], но не включает [Подсеть B]». и «Представьте, что правила брандмауэра для всех маршрутизаторов разрешают все».

Но я предполагаю, что вы имеете в виду, что удаленный ASA настроен на использование VPN только для определенных подсетей - например, подсети A. Я не понимаю, почему вы хотите использовать NAT на внутреннем интерфейсе ASA. к хосту в подсети B. Почему маршрутизатор 2 не выполняет NAT?

Что касается маршрутизации трафика, я не могу ответить на этот вопрос. Однако я могу сказать, что использование NAT в традиционных реализациях приводит к двум решениям о маршрутизации. Первый, который идентифицирует пакет как принадлежащий к транслированному TCP-соединению - это будет использовать непереведенные IP-адреса и следующее решение для посттранслированного пакета.

По сути, что вы имеете в виду, говоря «Повлияет ли это на соединения, входящие через VPN?» Хотели бы вы, чтобы удаленные пользователи, подключенные к VPN, получали доступ к хосту в подсети B через преобразование NAT или нет?

Предполагая, что ваша цель - сделать хост в подсети-B доступным для пользователей VPN, не открывая им остальную подсеть-B, тогда ваши рассуждения верны; из-за отсутствия опыта на платформе cisco pix / asa я не могу гарантировать, что нет никаких ошибок или зависаний. Это легко и просто сделать, например, с помощью linux iptables.

Опять же, если вы просто хотите сделать хост в подсети-B доступным для пользователей через VPN, рассмотрите возможность выполнения этого NAT на маршрутизаторе 2 и / или добавления подсети-B к VPN и использования правил брандмауэра на ASA или Маршрутизатор 2 для ограничения трафика.

Извините, это не идеальный ответ, но если вы могли бы прояснить детали, у меня могут быть для вас лучшие новости.