Назад | Перейти на главную страницу

HTTP-трафик через PIX VPN с внешнего сайта

У меня есть удаленный сайт с веб-сайтом, который разрешает доступ только с внешнего IP-адреса, назначенного нашему локальному PIX. У меня есть пользователи, подключающиеся к локальной сети с помощью VPN, которым необходимо иметь возможность просматривать этот удаленный сайт. Я не думаю, что это работает, потому что пакеты хотят входить и выходить через один и тот же (ext) интерфейс. Итак, я ищу способ сделать эту работу с помощью PIX или настройки службы на сервере в локальной сети, чтобы действовать как посредник для HTTP-запросов.

Удаленный сайт не поддерживает настройку VPN для нашего PIX. Удаленный веб-сайт отправляет страницы через нестандартный порт.

Могу ли я использовать squid или что-то подобное для прокси только на одном сайте?

Вот некоторые части конфигурации PIX. Клиентам VPN назначается IP из [vpn_subnet], и я хочу, чтобы они имели доступ к порту 12345 на удаленном сайте [remote_host_ip]. Следует отметить, что у меня есть пользователи на удаленном сайте, использующие VPN-клиент для подключения к нашему сайту, и, поскольку этот сайт имеет только один IP-адрес, наш локальный сайт видит их как [remote_host_ip].

   ip local pool vpnpool <vpn_subnet_ip_range>

   tunnel-group vpn_abc type remote-access
   tunnel-group vpn_abc general-attributes
    address-pool vpnpool
    authentication-server-group (outside) AuthInbound
    default-group-policy vpn_pol_abc
   tunnel-group vpn_abc ipsec-attributes
    pre-shared-key *

   group-policy vpn_pol_abc internal
   group-policy vpn_pol_abc attributes
    wins-server value <local_ip>
    dns-server value <local_ip>
    vpn-idle-timeout 30
    split-tunnel-policy tunnelspecified
    split-tunnel-network-list value vpnusers
    default-domain value example.com

   access-list vpnusers extended permit ip <local_subnet> 255.255.0.0 <vpn_subnet> 255.255.255.0
   access-list vpnusers extended permit ip host <remote_host_ip> <vpn_subnet> 255.255.255.0

   access-list nonat extended permit ip <local_subnet> 255.255.0.0 <vpn_subnet> 255.255.255.0
   access-list nonat extended permit ip host <remote_host_ip> <vpn_subnet> 255.255.255.0

   nat (inside) 0 access-list nonat
   nat (inside) 1 0.0.0.0 0.0.0.0

Да, HTTP-прокси подойдет, но это не обязательно; VPN-трафик, поступающий во внешний интерфейс, может спокойно покинуть внешний интерфейс без необходимости в прокси.

Если вы предоставите сведения о конфигурации, мы сможем более конкретно помочь с тем, как это сделать - если пользователи VPN не могут подключаться к интернет-сайтам, то, скорее всего, проблема связана либо с конфигурацией VPN, либо с конфигурацией NAT.