如何在 Cisco ASA 上对 192.168.xx 公司域进行 NAT,以免与 VPN 远程用户 LAN 冲突

tag-icon tag-icon nat cisco-asa cisco-vpn
如何在 Cisco ASA 上对 192.168.xx 公司域进行 NAT,以免与 VPN 远程用户 LAN 冲突

我已根据以下问题成功配置了 IPSEC VPN:-

如何禁用 ASA 5510 的 IPSEC VPN 连接的 DNS 修改

然而,我遇到了一个问题,远程用户通常位于 192.168.xx 范围内的家庭网络上,因此这与将他们连接到另一个 192.168.xx 的 vpn 发生冲突

因此,在谷歌搜索了这个问题后,我发现了这篇文章,它准确地解释了我的问题和一个潜在的解决方案:-

http://nimlabs.org/~nim/dirtynat.html

但它不适用于思科 ASA。

对于我的VPN来说:-

                10.1.0.x
                    |
                   非军事区
                    |
192.168.0-15.x ------- nat ----- outside-2 10.1.96-111.x
内部 --- [cisco asa 5510] -- 外部 91.xxx
                                 |
                                 |分配 10.1.120.x
                                 |  
                                 |
                              [cisco vpn 客户端](可能
                                                   192.168.xx)

Cisco Nat 规则禁用 VPN 池到内部和 dmz 接口的 natting,但继续将 nat 应用于出站互联网连接。

访问列表 inside_nat0 扩展允许 ip 192.168.0.0 255.255.240.0 10.1.16.0 255.255.252.0
访问列表 inside_nat0 扩展允许 ip 10.1.120.0 255.255.255.0 192.168.0.0 255.255.240.0
访问列表 inside_nat0 扩展允许 ip 192.168.0.0 255.255.240.0 10.1.120.0 255.255.255.0
访问列表 outside_nat0 扩展允许 ip 10.1.16.0 255.255.252.0 192.168.7.0 255.255.255.224
访问列表 outside_nat0 扩展允许 ip 10.1.120.0 255.255.255.0 10.1.16.0 255.255.252.0
访问列表 outside_nat0 扩展允许 ip 10.1.16.0 255.255.252.0 10.1.120.0 255.255.255.0
访问列表 outside_nat0 扩展允许 ip 10.1.120.0 255.255.255.0 192.168.0.0 255.255.240.0
访问列表 outside_nat0 扩展允许 ip 192.168.0.0 255.255.240.0 10.1.120.0 255.255.255.0
访问列表 dmz_nat0 扩展允许 ip 10.1.120.0 255.255.255.0 10.1.16.0 255.255.252.0
访问列表 dmz_nat0 扩展允许 ip 10.1.16.0 255.255.252.0 10.1.120.0 255.255.255.0
nat (内部) 0 访问列表 inside_nat0
nat (内部) 1 0.0.0.0 0.0.0.0
nat (外部) 0 访问列表 outside_nat0
nat (外部) 2 10.1.120.0 255.255.255.0
nat (dmz) 0 访问列表 dmz_nat0
nat (dmz) 2 0.0.0.0 0.0.0.0

全球(外部) 1 91.xxx
全局(外部) 2 91.xxx
全局(dmz) 3 10.1.19.1

因此,我尝试让这种方法发挥作用,在外部网络上创建一个虚拟接口,并使用静态 nat 将不寻常的 10.1.96.0/20 映射到我们常规的内部 192.168.0.0/20。

接口以太网0/1.116
 VLAN 116
 nameif outside-2
 安全级别 0
 IP地址 10.1.96.1 255.255.240.0

静态(内部,外部-2)10.1.96.0 192.168.0.0 网络掩码 255.255.240.0 dns tcp 1000 100 udp 1000

显示路线的输出:-

最后选用的网关是 91.xxx,网络是 0.0.0.0

C 10.1.16.0 255.255.252.0 直接连接,dmz
C 10.1.96.0 255.255.240.0 直接连接,outside-2
S 10.1.120.2 255.255.255.255 [1/0] 通过 91.xxx,外部
C 10.254.10.0 255.255.255.252 直接连接,FOCtrlIntf
C 91.xxx 255.255.255.0 直接连接,外部
S* 0.0.0.0 0.0.0.0 [1/0] 经由 91.208.xx,外部
C 192.168.0.0 255.255.240.0 直接连接,内部

但是这似乎不起作用。我猜是因为当我连接到 vpn 时,nat 不知怎么就没用了,但我确信其他人一定也遇到过同样的问题,重新编号我们的内部 lan 绝对是最后的手段!

答案1

为他们分配一个 172.16.0.0/12 范围内的 IP?

相关内容