Настройте Cisco ASA WebVPN на IP-адрес, отличный от внешнего IP-адреса.

У нашего клиента есть решение SSL VPN под названием "SSL Explorer", это серверное приложение, которое работает на хостах DMZ. Поскольку было объявлено, что срок действия Программного обеспечения истек, мы хотим перейти на ASA WebVPN.

На данный момент существует DNS-запись "ssl.customer.ch", указывающая на xx.xx.xx.68/29. Мы не хотим менять запись DNS, чтобы время простоя миграции было как можно меньше.

Сам ASA имеет IP-адрес xx.xx.xx.66/29 на внешнем интерфейсе.

Если я собираюсь настроить WebVPN через ASDM с помощью мастера, похоже, что IP-адрес для доступа к WebVPN изменить нельзя, это всегда IP-адрес на выбранном вами интерфейсе, в этом случае внешний IP-адрес xx.xx.xx.66.

Мой вопрос: как я могу получить доступ к WebVPN через IP-адрес xx.xx.xx.68/29, отличный от IP-адреса, чем внешний IP-адрес?

Вот что я уже пробовал:

1) Создайте второй (вспомогательный) интерфейс на внешнем интерфейсе и настройте xx.xx.xx.68/29 в качестве IP-адреса. -> не работает, потому что подсеть перекрывается. (возможно, это сработало бы, если бы я снова подсеть, подсеть снова, но тогда я бы потерял необходимые IP-адреса, так что это не вариант)

Я также попробовал своего рода оператор NAT, который должен перенаправить xxx68:443 к xxx66:443

  static (outside,outside)  tcp interface 443 xx.xx.xx.68 443 netmask 255.255.255.255 tcp 0 0 udp 0


  access-list outside_access_in line 9 remark Erlaubt WebVPN auf xx.xx.xx.68 fuer redirect auf xx.xx.xx.66 (outside IP von ASA)
  access-list outside_access_in line 10 extended permit tcp host xx.xx.xx.68 host xx.xx.xx.66 eq https 

но если сделать трассировку пакета

  packet-tracer input outside tcp 80.41.25.6 12345 217.192.168.68 443 xml

это говорит о том, что из-за нечистоты любой конец списка ACL блокирует трафик.

есть идеи?