Cisco ASA 5505: PAT / NAT между 2 туннелями IPSec

У меня есть следующие настройки:

Клиент <-> HQ <-> Филиал

  • Клиент имеет подсеть 192.168.1.0/24.
  • В HQ только VPN-шлюз в моем контексте, 172.20.10.1 .
  • А на стороне филиала есть сеть 172.30.0.0/16.

Между HQ <-> Customer и Branchoffice <-> HQ находятся туннели IPSec (туннельный режим).

  • Клиентский туннель HQ <-> имеет 192.168.90.0/30 в качестве источника и 192.168.1.0/24 в качестве настроенной сети назначения.
  • Туннель HQ Branchoffice имеет источник 172.30.0.0/16 и источник 192.168.1.0/24, 172.20.0.0/16.

Причина, по которой я использую 192.168.90.0/30 в качестве источника, заключается в том, что мы используем NAT/PAT для каждого соединения через 192.168.90.1, чтобы скрыть нашу внутреннюю структуру для нашего клиента. Итак, у меня есть правило NAT, настроенное как:

  • src интерфейс isp
  • DST интерфейс ISP
  • dst ip 192.168.1.0/24
  • погладить интерфейс 192.168.90.1 / isp

это прекрасно работает для нашего Roadwarrior vpn (IPSec / L2TP) на HQ ASA, но не для туннеля филиала. Asa ищет криптовалюту, которая соответствует 172.30.30.10 как src и 192.168.1.12 как dst - которая, как и ожидалось, не может быть найдена. Как я могу изменить этот пакет маршрутизации через PAT от нашего филиала до нашего клиента?

Дополнительная информация: ASA Software Version 8.2(4) HQ / 8.2(5) branchoffice

Источник

0 ответов

Другие вопросы по тегам