来自外部站点通过 PIX VPN 的 HTTP 通信

来自外部站点通过 PIX VPN 的 HTTP 通信

我有一个远程站点,上面有一个网站,只允许从分配给我们本地 PIX 的外部 IP 进行访问。我有用户使用 VPN 连接到本地网络,他们需要能够查看这个远程站点。我认为这行不通,因为数据包需要通过同一个 (ext) 接口进出。所以我正在寻找一种方法来使用 PIX 来实现这一点,或者在本地网络上的服务器上设置一个服务来充当 HTTP 请求的中间人。

远程站点不支持设置到我们的 PIX 的 VPN。远程网站正在通过非标准端口发送页面。

我可以使用 squid 或者类似的东西来代理一个站点吗?

以下是 PIX 配置的某些部分。VPN 客户端从 [vpn_subnet] 获得一个 IP,我希望它们能够访问远程站点 [remote_host_ip] 上的端口 12345。需要注意的一点是,远程站点上的用户使用 VPN 客户端连接到我们的站点,由于该站点只有一个 IP,因此我们的本地站点会将他们视为 [remote_host_ip]。

   ip local pool vpnpool <vpn_subnet_ip_range>

   tunnel-group vpn_abc type remote-access
   tunnel-group vpn_abc general-attributes
    address-pool vpnpool
    authentication-server-group (outside) AuthInbound
    default-group-policy vpn_pol_abc
   tunnel-group vpn_abc ipsec-attributes
    pre-shared-key *

   group-policy vpn_pol_abc internal
   group-policy vpn_pol_abc attributes
    wins-server value <local_ip>
    dns-server value <local_ip>
    vpn-idle-timeout 30
    split-tunnel-policy tunnelspecified
    split-tunnel-network-list value vpnusers
    default-domain value example.com

   access-list vpnusers extended permit ip <local_subnet> 255.255.0.0 <vpn_subnet> 255.255.255.0
   access-list vpnusers extended permit ip host <remote_host_ip> <vpn_subnet> 255.255.255.0

   access-list nonat extended permit ip <local_subnet> 255.255.0.0 <vpn_subnet> 255.255.255.0
   access-list nonat extended permit ip host <remote_host_ip> <vpn_subnet> 255.255.255.0

   nat (inside) 0 access-list nonat
   nat (inside) 1 0.0.0.0 0.0.0.0

答案1

是的,HTTP 代理可以工作,但不是必需的;进入外部接口的 VPN 流量可以顺利离开外部接口,而不需要代理。

如果您提供配置详细信息,我们可以更具体地帮助您进行配置 - 如果 VPN 上的用户无法连接到互联网站点,那么很可能是 VPN 配置或 NAT 配置存在问题。

相关内容