如何将一个 VPN 的流量 NAT 为来自 Cisco ASA 上的不同 IP?

如何将一个 VPN 的流量 NAT 为来自 Cisco ASA 上的不同 IP?

我们的私有网络(10.1.0.0/16)和外界之间有一个 Cisco ASA 防火墙,并且有多个 VPNS 通往客户端站点。

现存的:

[10.1.0.2...] = source client
       |
[10.1.0.1 ASA <public>]---{other VPNs...}
                  |
                {VPN}
                  |
              [<public> Router <private>]
                                   |
                              [<private>] = destination server

我现在需要与其他人建立连接以与其组织内的服务器进行通信,但为​​了避免与其网络的其他部分冲突,我的 IP 看起来好像在 192.168.50.0/24 范围内,而不是 10.1.0.0/16。

期望(从远程网络的角度来看):

[192.168.50.2...] = source client
       |
     [<?> ASA <public>]
                  |
                {VPN}
                  |
              [<public> Router <private>]
                                   |
                              [<private>] = destination server

我仍然需要保留我们所有其他 VPN 的现有配置,因此没有重新 IP 我们内部网络的选项,而是想在 Cisco 中创建一些 NAT 规则。

请问我需要配置什么才能实现这种情况?

答案1

伊恩,

您所指的情况非常常见……如果在普通 IPSEC VPN 隧道(站点到站点)上设置,则重叠的内部子网将无法正确传输流量。

其想法是,如果 VPN 流量通过 VPN 进行隧道传输,则对 VPN 流量执行策略 NAT,将 10.1.0.0/16 更改为 192.168.50.0/24。

思科对如何做到这一点有一篇很好的文章:具有重叠子网的 LAN 到 LAN VPN

如果您使用的是更高版本的 ASA,这里也有一篇博客文章:具有重叠子网的 ASA VPN

希望有所帮助。

相关内容