我有以下设置:
客户 <-> 总部 <-> 分支机构
- 客户有一个 192.168.1.0/24 子网。
- 在总部,只有 VPN 网关在我的环境中,172.20.10.1 。
- 在分支机构端,存在网络 172.30.0.0/16。
总部 <-> 客户和分支机构 <-> 总部之间是 IPSec 隧道(隧道模式)。
- HQ <-> 客户隧道配置为 192.168.90.0/30 作为源网络,192.168.1.0/24 作为目标网络。
- 分支机构 <-> 总部隧道以 172.30.0.0/16 作为源,以 192.168.1.0/24、172.20.0.0/16 作为目的地。
我之所以使用 192.168.90.0/30 作为源,是因为我们通过 192.168.90.1 对每个连接进行 NAT/PAT,以向客户隐藏我们的内部结构。因此,我配置了一条 NAT 规则,如下所示:
- src 接口 isp
- dst 接口 isp
- 目的 IP 192.168.1.0/24
- 通过 192.168.90.1/isp 接口进行 pat
这对于 HQ ASA 上的 roadwarrior vpn (IPSec / L2TP) 来说运行良好,但对于分支机构隧道来说却不行。asa 正在搜索与 172.30.30.10 作为源和 192.168.1.12 作为目标相匹配的加密映射 - 不出所料 - 找不到。我如何才能更改从我们的分支机构到客户的 PAT 路由数据包的工作原理?
附加信息:ASA 软件版本 8.2(4) HQ / 8.2(5) branchoffice