Anticisco http://anticisco.ru/forum/ |
|
ASA NAT+VPN http://anticisco.ru/forum/viewtopic.php?f=2&t=10673 |
Страница 1 из 1 |
Автор: | tashmen [ 12 сен 2018, 13:58 ] |
Заголовок сообщения: | ASA NAT+VPN |
В организации настроена связь с удаленными подразделениями. Подразделения делятся на 2 типа - 1) сидят за Роутерами 1861 2) сидят за АСА 5520 (ASA 8.2(5)59) В центре стоит АСА 5520. Между всеми подразделениями и центром настроены Site-site VPN, где туннель поднимается между внешними IP подразделений и центра. В связи с реорганизацией количество хостов в подразделениях резко выросло и стал вопрос НАТ. Там где подразделения сидят за роутерами проблем не произошло. Подняли новый DHCP-pool на 192.168.200.0/24, присвоили внутреннему интерфейсу новый адрес 192.168.200.1 как основной и старый 10.0.200.225 как secondary и добавили ip nat inside. Использовали старый пул адресов 10.0.200.224-10.0.200.240 как NAT-POOL на внутреннем интерфейсе. На наружнем интерфейсе дали ip nat outside даже ничего перенастраивать не пришлось. Т.е. Внутренние клиенты получают от dhcp адреса 192.168.200.x - они транслируются в 10.0.200.x и затем попадают в VPN. Цитата: crypto map VPNmap 1 ipsec-isakmp set peer 10.0.1.1 set transform-set 3des_md5_hmac match address 100 interface FastEthernet0/0 description ##--WAN--## ip address 10.0.3.37 255.255.255.252 ip nat outside crypto map VPNmap interface FastEthernet0/1.11 description ##--LAN--## encapsulation dot1Q 11 ip address 192.168.200.1 255.255.255.0 ip address 10.0.200.225 255.255.255.240 secondary ip nat inside ip nat pool LAN_OUTSIDE_POOL 10.0.200.230 10.0.200.238 netmask 255.255.255.240 ip nat inside source list NAT pool LAN_OUTSIDE_POOL overload ip access-list extended NAT permit ip 192.168.200.0 0.0.1.255 any access-list 100 remark VPN_map access-list 100 permit ip 10.0.200.224 0.0.0.15 10.0.1.0 0.0.0.255 А вот где подразделения сидят за АСА-шками вопрос остался открытым. Вопрос в том - как осуществить эту же схему на ASA?? т.е. чтобы клиенты получали адреса из 192 сетки- транслировались в 10 и затем летели в туннель ВПН? Адреса пусть будут те же как и в этом примере. |
Автор: | aliotru [ 12 сен 2018, 14:20 ] |
Заголовок сообщения: | Re: ASA NAT+VPN |
может быть у вашей проблемы нет проблемы? или есть более изящное решение? в чем смысл ната одной сети в другую на одном интерфейсе? если раньше работало, то значит пересечения сетей не происходит. Больше у меня идей не возникло)) |
Автор: | tashmen [ 12 сен 2018, 14:30 ] |
Заголовок сообщения: | Re: ASA NAT+VPN |
Ну можно как вариант использовать разные сети на внутренних сетях подразделений, и обойтись вообще без НАТ, но тогда и центр перенастраивать тоже придется, что не хотелось, думал малой кровью отделаться. Ну раз надо - значит надо |
Автор: | crash [ 12 сен 2018, 18:39 ] |
Заголовок сообщения: | Re: ASA NAT+VPN |
Код: nat (inside,any) source static real-net mapped-net destination remote-mapped-net remote-real-net |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |