我正在尝试将从我的私有网络出站的连接通过我的内部网络上的另一个主机路由到外部 IP。
下列操作应该有效吗?
例如:外部IP是1.1.1.1
route inside 1.1.1.1 255.255.255.255 192.168.0.4 1
因此,当我的 192.168.0.0/24 网络上的任何主机尝试访问 1.1.1.1 时,它最终会首先访问 192.168.0.4。
答案1
我一直在尝试解决这个问题,但之前收效甚微。一些消息来源声称 ASA 永远不会发送 icmp 重定向,而这对于让内部的其他客户端知道特定目的地有另一个网关是必要的,而其他消息来源声称 ASA 8.2(1) 之前不会这样做,这意味着更新的版本可以。如果我没记错的话,我在 8.3 上测试过,但收效甚微。
如果运气好一点,它就会起作用,也许我只是放弃得太早了。你肯定会想要同样的安全规则:
same-security-traffic permit intra-interface
确保没有奇怪的 nat,并且您的 access_in acl 允许它。我最终将特定设备(在我的情况下是 openvpn 路由器)粘贴在另一个(子)接口上以实现路由。不要忘记报告您的成功或失败!
答案2
为什么使用“内部”?您可以发布 ASA“show route”命令输出吗?
如果你想要访问外部 IP,你可以使用:
route outside [External Network] [Mask] gateway
Ex: route outside 0.0.0.0 0.0.0.0 192.168.1.1
其中“outside”是连接外部网络的接口。
答案3
我相信路由声明应该有效。我建议将路由移至 ASA 之前的设备。