Anticisco
http://anticisco.ru/forum/

ASA NAT+VPN
http://anticisco.ru/forum/viewtopic.php?f=2&t=10673
Страница 1 из 1

Автор:  tashmen [ 12 сен 2018, 13:58 ]
Заголовок сообщения:  ASA NAT+VPN

В организации настроена связь с удаленными подразделениями.
Подразделения делятся на 2 типа -
1) сидят за Роутерами 1861
2) сидят за АСА 5520 (ASA 8.2(5)59)

В центре стоит АСА 5520. Между всеми подразделениями и центром настроены Site-site VPN, где туннель поднимается между внешними IP подразделений и центра.

В связи с реорганизацией количество хостов в подразделениях резко выросло и стал вопрос НАТ.

Там где подразделения сидят за роутерами проблем не произошло. Подняли новый DHCP-pool на 192.168.200.0/24, присвоили внутреннему интерфейсу новый адрес 192.168.200.1 как основной и старый 10.0.200.225 как secondary и добавили ip nat inside.
Использовали старый пул адресов 10.0.200.224-10.0.200.240 как NAT-POOL на внутреннем интерфейсе.
На наружнем интерфейсе дали ip nat outside даже ничего перенастраивать не пришлось.
Т.е. Внутренние клиенты получают от dhcp адреса 192.168.200.x - они транслируются в 10.0.200.x и затем попадают в VPN.

Цитата:
crypto map VPNmap 1 ipsec-isakmp
set peer 10.0.1.1
set transform-set 3des_md5_hmac
match address 100

interface FastEthernet0/0
description ##--WAN--##
ip address 10.0.3.37 255.255.255.252
ip nat outside
crypto map VPNmap

interface FastEthernet0/1.11
description ##--LAN--##
encapsulation dot1Q 11
ip address 192.168.200.1 255.255.255.0
ip address 10.0.200.225 255.255.255.240 secondary
ip nat inside

ip nat pool LAN_OUTSIDE_POOL 10.0.200.230 10.0.200.238 netmask 255.255.255.240
ip nat inside source list NAT pool LAN_OUTSIDE_POOL overload

ip access-list extended NAT
permit ip 192.168.200.0 0.0.1.255 any

access-list 100 remark VPN_map
access-list 100 permit ip 10.0.200.224 0.0.0.15 10.0.1.0 0.0.0.255




А вот где подразделения сидят за АСА-шками вопрос остался открытым.
Вопрос в том - как осуществить эту же схему на ASA?? т.е. чтобы клиенты получали адреса из 192 сетки- транслировались в 10 и затем летели в туннель ВПН?

Адреса пусть будут те же как и в этом примере.

Автор:  aliotru [ 12 сен 2018, 14:20 ]
Заголовок сообщения:  Re: ASA NAT+VPN

может быть у вашей проблемы нет проблемы? или есть более изящное решение?
в чем смысл ната одной сети в другую на одном интерфейсе? если раньше работало, то значит пересечения сетей не происходит. Больше у меня идей не возникло))

Автор:  tashmen [ 12 сен 2018, 14:30 ]
Заголовок сообщения:  Re: ASA NAT+VPN

Ну можно как вариант использовать разные сети на внутренних сетях подразделений, и обойтись вообще без НАТ, но тогда и центр перенастраивать тоже придется, что не хотелось, думал малой кровью отделаться.
Ну раз надо - значит надо :)

Автор:  crash [ 12 сен 2018, 18:39 ]
Заголовок сообщения:  Re: ASA NAT+VPN

Код:
nat (inside,any) source static real-net mapped-net destination remote-mapped-net remote-real-net
ну и создать object-group real-net, mapped-net, remote-mapped-net, remote-real-net. А лучше сделать так, чтобы адресация не пересекалась

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/