RemoteSite (172.16.1.*)
|
Internet --- InternetUsers
|
ASA --- LocalUsers (192.168.1.*)
|
InsideNet (10.1.1.*)
|
Router
|
DeeperNet (10.22.22.*)
У меня Cisco ASA 5510 с тремя интерфейсами: внутренние / внешние / локальные пользователи.
Внутри есть две подсети, InsideNet и DeeperNet, соединенные простым маршрутизатором. В таблице маршрутизации ASA есть запись для DeeperNet.
Удаленные сайты подключаются через локальную сеть VPN на внешнем интерфейсе. (Этот VPN включает InsideNet и DeeperNet, поэтому пользователь RemoteSite может связываться с серверами в DeeperNet)
Весь трафик на веб-сервер в InsideNet (10.1.1.1) должен быть перенаправлен на веб-сервер в Deepernet (10.22.22.22). Для локальных пользователей это легко сделать с помощью статического правила NAT:
статический (внутри, локальные пользователи) 10.1.1.1 10.22.22.22 сетевая маска 255.255.255.255
Любой трафик от интернет-пользователей поступает на общедоступный IP-адрес ASA, и его также легко обрабатывать с помощью статического правила NAT.
статический (внутри, снаружи) 203.203.203.203 10.22.22.22 сетевая маска 255.255.255.255
У меня проблемы с пользователями VPN. Я не уверен, как именно функциональность VPN взаимодействует с NAT и в каком порядке NAT и VPN применяются к ASA.
Как настроить статическое правило NAT, чтобы все удаленные пользователи, отправляющие данные на 10.1.1.1 через VPN, перенаправляли их на 10.22.22.22?
Действует ли этот NAT до или после выбора трафика VPN? (то есть, если бы VPN был настроен как RemoteSite <-> InsideNet, только трафик 10.1.1.1 проходил бы и преобразовывался в NATT на IP-адрес DeeperNet, или ASA смотрел бы на реальные IP-адреса и решил, что он не является частью VPN? )
По опыту я считаю, что NAT применяется раньше, чем VPN. Однако я имел дело только с инфраструктурными VPN, которые могут отличаться от пользователей VPN.