1つのVPNのトラフィックをCiscoASAの別のIPからNATトラフィックにするにはどうすればよいですか?
プライベートネットワーク(10.1.0.0/16)と外部の間にCisco ASAファイアウォールがあり、複数のVPNがクライアントサイトに接続しています。
既存:
[10.1.0.2...] = source client
|
[10.1.0.1 ASA <public>]---{other VPNs...}
|
{VPN}
|
[<public> Router <private>]
|
[<private>] = destination server
組織内のサーバーと通信するために他の誰かに接続する必要がありますが、ネットワークの他の部分との競合を避けるために、IPが10.1ではなく192.168.50.0/24の範囲にあるように見える必要があります。 0.0/16。
望ましい(リモートネットワークの観点から):
[192.168.50.2...] = source client
|
[<?> ASA <public>]
|
{VPN}
|
[<public> Router <private>]
|
[<private>] = destination server
他のすべてのVPNの既存の構成を維持する必要があるため、内部ネットワークを再IP処理するオプションがなく、代わりにいくつかのNATルールをシスコで作成します。
このシナリオを実現するには、何を構成する必要がありますか?
イアン、
あなたが言及しているのはかなり一般的です...通常のIPSEC VPNトンネル(サイト間)で設定すると、トラフィックを適切に通過させない内部サブネットが重複しています。
アイデアは、VPNを介してトンネリングしている場合、VPNトラフィックに対してポリシーNATを実行して、10.1.0.0/16を192.168.50.0/24に変更することです。
シスコは、これを行う方法について優れた記事を書いています。 サブネットが重複しているLAN-to-LAN VPN
ASAの新しいバージョンを使用している場合は、こちらにもブログの投稿があります。 サブネットが重複しているASA VPN
お役に立てば幸いです。