我们的客户有一个名为“SSL Explorer”的 SSL VPN 解决方案,它是一款基于服务器的应用程序,在 DMZ 主机上运行。由于该软件已宣布停产,我们希望迁移到 ASA WebVPN。
目前有一个 DNS 记录“ssl.customer.ch”指向 xx.xx.xx.68/29。我们不想更改 DNS 记录,以尽可能减少迁移的停机时间。
ASA 本身在外部接口上具有 IP 地址 xx.xx.xx.66/29。
如果我要使用向导通过 ASDM 设置 WebVPN,则似乎无法更改访问 WebVPN 的 IP 地址,它始终是您选择的接口上的 IP 地址,在这种情况下是外部 IP 地址 xx.xx.xx.66。
我的问题是如何通过 IP 地址 xx.xx.xx.68/29(与外部 IP 地址不同的 IP 地址)访问 WebVPN?
以下是我已经尝试过的:
1) 在外部接口上创建第二个(子)接口,并将 xx.xx.xx.68/29 配置为 IP 地址。--> 由于子网重叠,因此不起作用。(如果我再划分子网,再划分子网,也许会起作用,但这样我会丢失所需的 IP 地址,所以这不是一个选择)
我还尝试了一种 NAT 语句,该语句应将 xxx68:443 重定向到 xxx66:443
static (outside,outside) tcp interface 443 xx.xx.xx.68 443 netmask 255.255.255.255 tcp 0 0 udp 0
access-list outside_access_in line 9 remark Erlaubt WebVPN auf xx.xx.xx.68 fuer redirect auf xx.xx.xx.66 (outside IP von ASA)
access-list outside_access_in line 10 extended permit tcp host xx.xx.xx.68 host xx.xx.xx.66 eq https
但如果进行数据包跟踪
packet-tracer input outside tcp 80.41.25.6 12345 217.192.168.68 443 xml
它表示在外部 ACL 末尾隐式拒绝任何内容都会阻止流量。
有任何想法吗?
答案1
我看不出有办法让这个功能在同一个网络上使用 2 个 IP 和 ASA 一起工作 :/
我看到的最佳解决方案是在 ASA 后面放置一个路由器来执行 NAT 或减少 ssl.customer.ch 的 TTL(以减少停机时间)然后更改其 IP