У нашего клиента есть решение SSL VPN под названием «SSL Explorer», это серверное приложение, работающее на хостах DMZ. Поскольку было объявлено, что срок эксплуатации программного обеспечения истек, мы хотим перейти на ASA WebVPN.
На данный момент есть DNS-запись "ssl.customer.ch" указывает на xx.xx.xx.68 / 29. Мы не хотим изменять запись DNS, чтобы время простоя миграции было как можно меньше.
Сам ASA имеет IP-адрес xx.xx.xx.66 / 29 на внешнем интерфейсе.
Если я собираюсь настроить WebVPN через ASDM с помощью мастера, кажется, что IP-адрес для доступа к WebVPN не может быть изменен, это всегда IP-адрес в интерфейсе, который вы выбираете, в этом случае внешний IP-адрес xx.xx .xx.66.
Мой вопрос: как я могу получить доступ к WebVPN через IP-адрес xx.xx.xx.68 / 29, IP-адрес отличный от внешнего IP-адреса?
Вот что я уже пробовал:
1) создать второй (под) интерфейс на внешнем интерфейсе и настроить xx.xx.xx.68 / 29 как IP-адрес. -> не работает, потому что подсети перекрываются. (возможно, это сработает, если я снова подключу подсеть, подсеть, но тогда я потеряю необходимые IP-адреса, поэтому это не вариант)
Я также пробовал что-то вроде оператора NAT, который должен перенаправлять x.x.x.68: 443 на x.x.x.66: 443
static (outside,outside) tcp interface 443 xx.xx.xx.68 443 netmask 255.255.255.255 tcp 0 0 udp 0
access-list outside_access_in line 9 remark Erlaubt WebVPN auf xx.xx.xx.68 fuer redirect auf xx.xx.xx.66 (outside IP von ASA)
access-list outside_access_in line 10 extended permit tcp host xx.xx.xx.68 host xx.xx.xx.66 eq https
но если сделать трассировку пакета
packet-tracer input outside tcp 80.41.25.6 12345 217.192.168.68 443 xml
он говорит, что неявное отрицание любого в конце внешнего ACL блокирует трафик.
Любые идеи?
Я не вижу способа заставить это работать с двумя IP-адресами в одной сети с ASA: /
Лучшее решение, которое я вижу, - это разместить маршрутизатор за ASA, чтобы выполнять NAT или значительно уменьшить TTL для ssl.customer.ch (для уменьшения времени простоя), а затем изменить его IP-адрес.