Сообщения без ответов | Активные темы Текущее время: 16 ноя 2018, 19:31



Ответить на тему  [ Сообщений: 4 ] 
ASA NAT+VPN 
Автор Сообщение

Зарегистрирован: 28 июн 2012, 18:38
Сообщения: 41
В организации настроена связь с удаленными подразделениями.
Подразделения делятся на 2 типа -
1) сидят за Роутерами 1861
2) сидят за АСА 5520 (ASA 8.2(5)59)

В центре стоит АСА 5520. Между всеми подразделениями и центром настроены Site-site VPN, где туннель поднимается между внешними IP подразделений и центра.

В связи с реорганизацией количество хостов в подразделениях резко выросло и стал вопрос НАТ.

Там где подразделения сидят за роутерами проблем не произошло. Подняли новый DHCP-pool на 192.168.200.0/24, присвоили внутреннему интерфейсу новый адрес 192.168.200.1 как основной и старый 10.0.200.225 как secondary и добавили ip nat inside.
Использовали старый пул адресов 10.0.200.224-10.0.200.240 как NAT-POOL на внутреннем интерфейсе.
На наружнем интерфейсе дали ip nat outside даже ничего перенастраивать не пришлось.
Т.е. Внутренние клиенты получают от dhcp адреса 192.168.200.x - они транслируются в 10.0.200.x и затем попадают в VPN.

Цитата:
crypto map VPNmap 1 ipsec-isakmp
set peer 10.0.1.1
set transform-set 3des_md5_hmac
match address 100

interface FastEthernet0/0
description ##--WAN--##
ip address 10.0.3.37 255.255.255.252
ip nat outside
crypto map VPNmap

interface FastEthernet0/1.11
description ##--LAN--##
encapsulation dot1Q 11
ip address 192.168.200.1 255.255.255.0
ip address 10.0.200.225 255.255.255.240 secondary
ip nat inside

ip nat pool LAN_OUTSIDE_POOL 10.0.200.230 10.0.200.238 netmask 255.255.255.240
ip nat inside source list NAT pool LAN_OUTSIDE_POOL overload

ip access-list extended NAT
permit ip 192.168.200.0 0.0.1.255 any

access-list 100 remark VPN_map
access-list 100 permit ip 10.0.200.224 0.0.0.15 10.0.1.0 0.0.0.255




А вот где подразделения сидят за АСА-шками вопрос остался открытым.
Вопрос в том - как осуществить эту же схему на ASA?? т.е. чтобы клиенты получали адреса из 192 сетки- транслировались в 10 и затем летели в туннель ВПН?

Адреса пусть будут те же как и в этом примере.


Последний раз редактировалось tashmen 12 сен 2018, 14:22, всего редактировалось 1 раз.



12 сен 2018, 13:58
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 780
может быть у вашей проблемы нет проблемы? или есть более изящное решение?
в чем смысл ната одной сети в другую на одном интерфейсе? если раньше работало, то значит пересечения сетей не происходит. Больше у меня идей не возникло))


12 сен 2018, 14:20
Профиль

Зарегистрирован: 28 июн 2012, 18:38
Сообщения: 41
Ну можно как вариант использовать разные сети на внутренних сетях подразделений, и обойтись вообще без НАТ, но тогда и центр перенастраивать тоже придется, что не хотелось, думал малой кровью отделаться.
Ну раз надо - значит надо :)


12 сен 2018, 14:30
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2575
Код:
nat (inside,any) source static real-net mapped-net destination remote-mapped-net remote-real-net
ну и создать object-group real-net, mapped-net, remote-mapped-net, remote-real-net. А лучше сделать так, чтобы адресация не пересекалась


12 сен 2018, 18:39
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 15


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB