Cisco ASA-为 VPN 上的用户进行内部 NAT -> 内部 IP

Cisco ASA-为 VPN 上的用户进行内部 NAT -> 内部 IP
RemoteSite   (172.16.1.*)
    |  
 Internet --- InternetUsers
    |
   ASA --- LocalUsers (192.168.1.*)
    |
 InsideNet     (10.1.1.*)
    |
  Router
    |   
 DeeperNet     (10.22.22.*)

我有一台 Cisco ASA 5510,它有三个接口:内部/外部/本地用户。

内部有两个子网,InsideNet 和 DeeperNet,通过一个简单的路由器连接。ASA 的路由表有 DeeperNet 的条目。

远程站点通过外部接口上的局域网到局域网 VPN 进行连接。(此 VPN 包括 InsideNet 和 DeeperNet,因此 RemoteSite 的用户可以联系 DeeperNet 上的服务器)

所有到 InsideNet(10.1.1.1)上的 Web 服务器的流量都需要重定向到 Deepernet(10.22.22.22)上的 Web 服务器。对于本地用户来说,这可以通过静态 NAT 规则轻松完成:

静态(内部,本地用户)10.1.1.1 10.22.22.22 网络掩码 255.255.255.255

来自互联网用户的任何流量都会进入 ASA 的公共 IP,并且也可以通过静态 NAT 规则轻松处理。

静态(内部,外部) 203.203.203.203 10.22.22.22 网络掩码 255.255.255.255

我遇到的问题与 VPN 用户有关。我不确定 VPN 功能如何与 NAT 交互,以及 NAT 和 VPN 以何种顺序应用于 ASA。

如何配置静态 NAT 规则,以便任何通过 VPN 向 10.1.1.1 发送数据的远程用户都会将其重定向到 10.22.22.22?

此 NAT 是在 VPN 流量选择之前还是之后生效?(也就是说,如果将 VPN 配置为 RemoteSite<-> InsideNet,则只有到 10.1.1.1 的流量才会通过并被 NATT 到 DeeperNet IP,还是 ASA 会查看真实 IP 并确定它不是 VPN 的一部分?)

答案1

根据经验,我相信 NAT 先于 VPN 应用。不过我只处理过基础设施 VPN,这可能与 VPN 用户不同。

相关内容