我正在尝试设置我们的 ASA 5510,以允许 IPsec(IKEv1) 通过 VPN 访问内部网络。我们的设置最困难的部分是外部接口没有分配公共 IP 地址。
当前设置:路由器 -> ASA
路由器和 ASA 之间是私有网络。所有公共 IP 都从 ASA 分配给 DMZ 上的主机。
因此,我首先尝试在 ASA 上设置一个免费的公共 IP。这是在外部接口上设置子接口 2 和 vlan 1。然后我设置 VPN 以通过新接口工作,但似乎不起作用。因此,当 ASA 没有任何公共 IP 时,我不确定使用 ASA 设置远程 VPN 访问的最佳方法是什么。任何想法都会非常有帮助。
答案1
您的拓扑是路由器 -> ASA,并且您需要 ASA 具有有效的公共 IP 以供 VPN 客户端连接到它。
这需要一对一的 NAT 来为 ASA 提供有效的公共 IP。
思科对于如何在其路由器上配置 NAT 有一个很好的概述: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080093f31.shtml
如果您没有 Cisco 路由器,则需要获取有关在路由器上配置静态或一对一 NAT 的文档。如果您不控制路由器,则需要向控制路由器的管理员请求一对一 NAT。
答案2
IPsec,也许还有 IKEv1,在 NAT 上工作得不是特别好。即使使用 1:1 NAT,数据包也会被破坏,签名也会失败。有一些流程(包括 IKEv1 和 ASA)可以帮助它工作,理论上可以解决问题,但它在多个供应商产品上工作的可能性几乎为零。