У меня есть удаленный сайт с веб-сайтом, который разрешает доступ только с внешнего IP-адреса, назначенного нашему локальному PIX. У меня есть пользователи, подключающиеся к локальной сети с помощью VPN, которым необходимо иметь возможность просматривать этот удаленный сайт. Я не думаю, что это работает, потому что пакеты хотят входить и выходить через один и тот же (ext) интерфейс. Итак, я ищу способ сделать эту работу с помощью PIX или настройки службы на сервере в локальной сети, чтобы действовать как посредник для HTTP-запросов.
Удаленный сайт не поддерживает настройку VPN для нашего PIX. Удаленный веб-сайт отправляет страницы через нестандартный порт.
Могу ли я использовать squid или что-то подобное для прокси только на одном сайте?
Вот некоторые части конфигурации PIX. Клиентам VPN назначается IP из [vpn_subnet], и я хочу, чтобы они имели доступ к порту 12345 на удаленном сайте [remote_host_ip]. Следует отметить, что у меня есть пользователи на удаленном сайте, использующие VPN-клиент для подключения к нашему сайту, и, поскольку этот сайт имеет только один IP-адрес, наш локальный сайт видит их как [remote_host_ip].
ip local pool vpnpool <vpn_subnet_ip_range>
tunnel-group vpn_abc type remote-access
tunnel-group vpn_abc general-attributes
address-pool vpnpool
authentication-server-group (outside) AuthInbound
default-group-policy vpn_pol_abc
tunnel-group vpn_abc ipsec-attributes
pre-shared-key *
group-policy vpn_pol_abc internal
group-policy vpn_pol_abc attributes
wins-server value <local_ip>
dns-server value <local_ip>
vpn-idle-timeout 30
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpnusers
default-domain value example.com
access-list vpnusers extended permit ip <local_subnet> 255.255.0.0 <vpn_subnet> 255.255.255.0
access-list vpnusers extended permit ip host <remote_host_ip> <vpn_subnet> 255.255.255.0
access-list nonat extended permit ip <local_subnet> 255.255.0.0 <vpn_subnet> 255.255.255.0
access-list nonat extended permit ip host <remote_host_ip> <vpn_subnet> 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
Да, HTTP-прокси подойдет, но это не обязательно; VPN-трафик, поступающий во внешний интерфейс, может спокойно покинуть внешний интерфейс без необходимости в прокси.
Если вы предоставите сведения о конфигурации, мы сможем более конкретно помочь с тем, как это сделать - если пользователи VPN не могут подключаться к интернет-сайтам, то, скорее всего, проблема связана либо с конфигурацией VPN, либо с конфигурацией NAT.