Назад | Перейти на главную страницу

Как настроить NAT корпоративный домен 192.168.x.x на Cisco ASA, чтобы не конфликтовать с локальными сетями удаленных пользователей VPN

Я успешно настроил IPSEC VPN по этому вопросу: -

Как отключить лечение DNS для подключений IPSEC VPN для ASA 5510

Однако я столкнулся с проблемой, что удаленные пользователи часто находятся в домашней сети в диапазоне 192.168.x.x, и, следовательно, это конфликтует с vpn, который присоединяет их к другому 192.168.x.x.

Итак, погуглив проблему, я нашел эту статью, которая точно объясняет мою проблему и потенциальное решение: -

http://nimlabs.org/~nim/dirtynat.html

Но это не для cisco ASA.

Итак, для моего VPN: -


                10.1.0.x
                    |
                   dmz
                    |
192.168.0-15.x  ------- nat ----- outside-2 10.1.96-111.x
inside --- [cisco asa 5510] -- outside 91.x.x.x
                                 |
                                 |allocated 10.1.120.x
                                 |  
                                 |
                              [cisco vpn client] (potentially on 
                                                   192.168.x.x)

Правила Cisco Nat запрещают наттинг для пула VPN с внутренними интерфейсами и интерфейсами dmz, но продолжают применять наттинг для исходящих интернет-соединений.

access-list inside_nat0 extended permit ip 192.168.0.0 255.255.240.0 10.1.16.0 255.255.252.0 
access-list inside_nat0 extended permit ip 10.1.120.0 255.255.255.0 192.168.0.0 255.255.240.0 
access-list inside_nat0 extended permit ip 192.168.0.0 255.255.240.0 10.1.120.0 255.255.255.0 
access-list outside_nat0 extended permit ip 10.1.16.0 255.255.252.0 192.168.7.0 255.255.255.224 
access-list outside_nat0 extended permit ip 10.1.120.0 255.255.255.0 10.1.16.0 255.255.252.0 
access-list outside_nat0 extended permit ip 10.1.16.0 255.255.252.0 10.1.120.0 255.255.255.0 
access-list outside_nat0 extended permit ip 10.1.120.0 255.255.255.0 192.168.0.0 255.255.240.0 
access-list outside_nat0 extended permit ip 192.168.0.0 255.255.240.0 10.1.120.0 255.255.255.0 
access-list dmz_nat0 extended permit ip 10.1.120.0 255.255.255.0 10.1.16.0 255.255.252.0 
access-list dmz_nat0 extended permit ip 10.1.16.0 255.255.252.0 10.1.120.0 255.255.255.0 
nat (inside) 0 access-list inside_nat0
nat (inside) 1 0.0.0.0 0.0.0.0
nat (outside) 0 access-list outside_nat0
nat (outside) 2 10.1.120.0 255.255.255.0
nat (dmz) 0 access-list dmz_nat0
nat (dmz) 2 0.0.0.0 0.0.0.0

global (outside) 1 91.x.x.x
global (outside) 2 91.x.x.x
global (dmz) 3 10.1.19.1

Итак, моя попытка заставить этот метод работать состояла в том, чтобы создать виртуальный интерфейс во внешней сети со статическим nat, отображающим необычный 10.1.96.0/20 на наш обычный внутренний 192.168.0.0/20.

interface Ethernet0/1.116
 vlan 116
 nameif outside-2
 security-level 0
 ip address 10.1.96.1 255.255.240.0 
!

static (inside,outside-2) 10.1.96.0 192.168.0.0 netmask 255.255.240.0 dns tcp 1000 100 udp 1000

Вывод из шоу-маршрута: -


Gateway of last resort is 91.x.x.x to network 0.0.0.0

C    10.1.16.0 255.255.252.0 is directly connected, dmz
C    10.1.96.0 255.255.240.0 is directly connected, outside-2
S    10.1.120.2 255.255.255.255 [1/0] via 91.x.x.x, outside
C    10.254.10.0 255.255.255.252 is directly connected, FOCtrlIntf
C    91.x.x.x 255.255.255.0 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 91.208.x.x, outside
C    192.168.0.0 255.255.240.0 is directly connected, inside

Однако это, похоже, не работает. Я предполагаю, что каким-то образом nat не применяется, когда я подключаюсь к vpn, но я уверен, что у других людей должна быть такая же проблема, и решение перенумерации нашей внутренней сети определенно является последним средством!

Выделить им IP из диапазона 172.16.0.0/12?