У нас есть Cisco ASA 5505 (версия 8.2 (2)) с тремя интерфейсами:
снаружи: IP-адрес 11.11.11.11, это маршрут по умолчанию внутри: IP-адрес 10.1.1.1, это новая ссылка на локальную подсеть: 22.22.22.22, это новое подключение к Интернету.
Нам нужно переместить пользователей VPN с адреса 11.11.11.11 на адрес 22.22.22.22, и мы используем SSH на ASA, чтобы проверить и отсортировать маршрутизацию.
Проблема вот в чем:
Если мы определим конкретный IP-адрес как находящийся на статическом маршруте из интерфейса newlink, тогда он сможет использовать SSH до 22.22.22.22. Если мы не определяем статический маршрут, тогда трафик попадает в ASA, но обратный трафик не возвращается по новой ссылке; предположительно он отправляется через внешний интерфейс, поскольку это маршрут по умолчанию. Мы не можем определить статический маршрут для каждой удаленной конечной точки, потому что есть пользователи удаленного доступа к VPN, которые, очевидно, сильно меняют IP.
Что нам нужно сделать, так это настроить ASA таким образом, чтобы, если соединение входит в интерфейс новой ссылки, исходящие пакеты для этого проходят через интерфейс новой ссылки, а не маршрут по умолчанию. С iptables это можно сделать, отметив соединение и выполнив mark-routing, но что эквивалентно для Cisco ASA?
Насколько я понимаю, этому вопросу 3 года, но я решил дать ответ, так как он может быть полезен кому-то, кто когда-нибудь посетит эту страницу.
Этот вопрос касается PBR (маршрутизации на основе политик), также известной как маршрутизация на основе адреса источника. Дело в том, что этот материал "официально" не поддерживается ASA. НО, есть трюк с NAT, который можно использовать для достижения аналогичных результатов. Это называется Identity NAT, также известное как преобразование одного и того же адреса.
В этом случае это будет выглядеть так:
sysopt noproxyarp новая ссылка
статическая (новая ссылка, новая ссылка) 0.0.0.0 0.0.0.0 сетевая маска 0.0.0.0
Это говорит: когда ЛЮБОЙ IP (0.0.0.0/0) приходит на интерфейс новая ссылка, верните его в интерфейс новая ссылка при переводе на себя (0.0.0.0). Таким образом, NAT на самом деле не происходит, но мы говорим, каким будет выходной интерфейс. Это переопределение таблицы маршрутизации происходит потому, что при использовании идентификационного NAT процесс NAT выполняет некоторую частичную маршрутизацию на основе «переведенного» интерфейса. В sysopt noproxyarp новая ссылка необходима команда, потому что в противном случае ASA начнет повторную отправку запросов ARP (proxy-ARP) для любого адреса назначения, поступающего на интерфейс "newlink". Все это до 8.3 Синтаксис ОС ASA.
Пост-8.3 синтаксис такой:
sysopt noproxyarp новая ссылка
nat (newlink, newlink) источник статический любой любой
Это не представляется возможным на Cisco ASA. С другой стороны, я получил значок «перекати-поле» для тех, кто не знает, как это делать в течение недели. :-)