Назад | Перейти на главную страницу

Как я могу передать трафик NAT для одной VPN с другого IP-адреса на Cisco ASA?

У меня есть межсетевой экран Cisco ASA между нашей частной сетью (10.1.0.0/16) и внешним миром, а также несколько VPNS, идущих к сайтам клиентов.

Существующий:

[10.1.0.2...] = source client
       |
[10.1.0.1 ASA <public>]---{other VPNs...}
                  |
                {VPN}
                  |
              [<public> Router <private>]
                                   |
                              [<private>] = destination server

Теперь мне нужно установить соединение с кем-то еще, чтобы поговорить с серверами в их организации, но чтобы избежать конфликта с другими частями их сети, мне нужно, чтобы мои IP-адреса выглядели так, как будто они находятся в диапазоне 192.168.50.0/24, а не 10.1. 0,0 / 16.

Желаемые (с точки зрения удаленной сети):

[192.168.50.2...] = source client
       |
     [<?> ASA <public>]
                  |
                {VPN}
                  |
              [<public> Router <private>]
                                   |
                              [<private>] = destination server

Мне все еще нужно сохранить существующую конфигурацию для всех других VPN, поэтому у меня нет возможности переназначить IP-адрес нашей внутренней сети, и я хотел бы вместо этого создать некоторые правила NAT в Cisco.

Что мне нужно настроить для реализации этого сценария, пожалуйста?

Иан,

То, о чем вы говорите, довольно распространено ... у вас есть перекрывающиеся внутренние подсети, которые не будут передавать трафик должным образом при настройке на обычный туннель IPSEC VPN (между сайтами).

Идея состоит в том, чтобы сделать NAT политики для трафика VPN, чтобы изменить ваш 10.1.0.0/16 на 192.168.50.0/24, если он туннелируется через VPN.

У Cisco есть отличная статья о том, как это сделать: LAN-to-LAN VPN с перекрывающимися подсетями

Здесь также есть сообщение в блоге, если вы используете более позднюю версию ASA: ASA VPN с перекрывающимися подсетями

Надеюсь, это поможет.