我们的私有网络(10.1.0.0/16)和外界之间有一个 Cisco ASA 防火墙,并且有多个 VPNS 通往客户端站点。
现存的:
[10.1.0.2...] = source client
|
[10.1.0.1 ASA <public>]---{other VPNs...}
|
{VPN}
|
[<public> Router <private>]
|
[<private>] = destination server
我现在需要与其他人建立连接以与其组织内的服务器进行通信,但为了避免与其网络的其他部分冲突,我的 IP 看起来好像在 192.168.50.0/24 范围内,而不是 10.1.0.0/16。
期望(从远程网络的角度来看):
[192.168.50.2...] = source client
|
[<?> ASA <public>]
|
{VPN}
|
[<public> Router <private>]
|
[<private>] = destination server
我仍然需要保留我们所有其他 VPN 的现有配置,因此没有重新 IP 我们内部网络的选项,而是想在 Cisco 中创建一些 NAT 规则。
请问我需要配置什么才能实现这种情况?
答案1
伊恩,
您所指的情况非常常见……如果在普通 IPSEC VPN 隧道(站点到站点)上设置,则重叠的内部子网将无法正确传输流量。
其想法是,如果 VPN 流量通过 VPN 进行隧道传输,则对 VPN 流量执行策略 NAT,将 10.1.0.0/16 更改为 192.168.50.0/24。
思科对如何做到这一点有一篇很好的文章:具有重叠子网的 LAN 到 LAN VPN
如果您使用的是更高版本的 ASA,这里也有一篇博客文章:具有重叠子网的 ASA VPN
希望有所帮助。