我有一个远程站点,上面有一个网站,只允许从分配给我们本地 PIX 的外部 IP 进行访问。我有用户使用 VPN 连接到本地网络,他们需要能够查看这个远程站点。我认为这行不通,因为数据包需要通过同一个 (ext) 接口进出。所以我正在寻找一种方法来使用 PIX 来实现这一点,或者在本地网络上的服务器上设置一个服务来充当 HTTP 请求的中间人。
远程站点不支持设置到我们的 PIX 的 VPN。远程网站正在通过非标准端口发送页面。
我可以使用 squid 或者类似的东西来代理一个站点吗?
以下是 PIX 配置的某些部分。VPN 客户端从 [vpn_subnet] 获得一个 IP,我希望它们能够访问远程站点 [remote_host_ip] 上的端口 12345。需要注意的一点是,远程站点上的用户使用 VPN 客户端连接到我们的站点,由于该站点只有一个 IP,因此我们的本地站点会将他们视为 [remote_host_ip]。
ip local pool vpnpool <vpn_subnet_ip_range>
tunnel-group vpn_abc type remote-access
tunnel-group vpn_abc general-attributes
address-pool vpnpool
authentication-server-group (outside) AuthInbound
default-group-policy vpn_pol_abc
tunnel-group vpn_abc ipsec-attributes
pre-shared-key *
group-policy vpn_pol_abc internal
group-policy vpn_pol_abc attributes
wins-server value <local_ip>
dns-server value <local_ip>
vpn-idle-timeout 30
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpnusers
default-domain value example.com
access-list vpnusers extended permit ip <local_subnet> 255.255.0.0 <vpn_subnet> 255.255.255.0
access-list vpnusers extended permit ip host <remote_host_ip> <vpn_subnet> 255.255.255.0
access-list nonat extended permit ip <local_subnet> 255.255.0.0 <vpn_subnet> 255.255.255.0
access-list nonat extended permit ip host <remote_host_ip> <vpn_subnet> 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
答案1
是的,HTTP 代理可以工作,但不是必需的;进入外部接口的 VPN 流量可以顺利离开外部接口,而不需要代理。
如果您提供配置详细信息,我们可以更具体地帮助您进行配置 - 如果 VPN 上的用户无法连接到互联网站点,那么很可能是 VPN 配置或 NAT 配置存在问题。