NAT mit VPN Site-to-Site- und Remote-LANs mit derselben IP-Adresse

8

Ich habe einen ASA5510, um Kunden mit meinem Unternehmen zu verbinden. Ich verwende ein Site-to-Site-IPSec-VPN mit einer Vielzahl von Anbietern auf der anderen Seite (Cisco, Sonicwall, Zyxel, Checkpoint usw.).

Für jedes Remote-LAN übersetze ich den Netzwerkclient in eine einzelne IP-Adresse. zum Beispiel:

  • Client1 192.168.1.0/24 Dynamic PAT (hide) abc1 / 24
  • Client2 172.16.0.0/16 Dynamic PAT (hide) abc2 / 24
  • Client3 172.17.4.0/26 Dynamisches PAT (ausblenden) abc3 / 24

Mit der aktuellen Konfiguration funktioniert alles einwandfrei, aber jetzt habe ich einen neuen Client (ClientN) mit derselben IP-Adresse wie Client1. Ich habe versucht "ClientN 192.168.1.0/24 Dynamic PAT (hide) abcn / 24", aber als ich es tat, verlor Client1 die Verbindung und ich musste das Netzwerk von ClientN entfernen ...

Haben Sie eine Idee, die Verwendung von VPN durch dieselben Remote-IP-Adressen zuzulassen?

Ich benutze ASDM, um den ASA einzurichten.

lmperso
quelle
Welche ASA-Version verwenden Sie? Vielleicht möchten Sie sich Cisco Twice Nat ansehen . Ich bin mit Twice Nat-Setups nicht vertraut genug, um eine richtige Antwort zu geben, aber es sollte Ihnen ermöglichen, das Remote-Netzwerk als ein anderes Subnetz an Ihrem Standort anzukündigen.
Luke
1
Wir müssen wissen, welche Art von VPN-Appliance Clientn verwendet, und hoffentlich eine Textkopie dieser Konfiguration. Könnten Sie die Frage aktualisieren?
Mike Pennington
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

1

Wenn Ihr ASA mehrere Kontexte unterstützt, können Sie dies versuchen. Dies bedeutet, dass Sie Ihren ASA virtualisieren. Sie können einige Clients in einem Kontext und andere in einem anderen Kontext haben.

mihai
quelle
Sie können VPN nicht mit mehreren Kontexten auf einem ASA verwenden.
ewwhite
1
In 9.0 (1) wurde die Unterstützung für Site-to-Site-Tunnel im Mehrfachkontextmodus hinzugefügt .
James Sneeringer
-2

Bidirektionale Netzwerkadressübersetzung (zweimal nat).

Sie können Quell-Nat zusammen mit Ziel-Nat verwenden.

Sie können viele Informationen dazu finden, zum Beispiel: http://www.youtube.com/watch?v=joiKul3SV5s

Prez
quelle
3
Können Sie weitere Details angeben, um diese Antwort zu verbessern? Zum Beispiel Konfigurationsbeispiele, Verweise auf offizielle Dokumente, bessere Beschreibungen usw.? Es reicht nicht aus, jemandem zu sagen, dass Sie viele Informationen darüber finden können, und SE zieht es vor, keine Antworten zu haben, die in erster Linie Links sind, da sie der Linkfäule unterliegen.
YLearn
Hallo, ich habe das Video über NAT und ASA gesehen. Es ist sehr interessant, aber es geht nicht um VPN und ich denke, es fehlt (für mich). Grüße
lmperso
Wenn Sie asa 8.3 oder höher verwenden: Objektnetzwerk innerhalb des Netzes Subnetz 192.168.1.0 255.255.255.0 Objektnetzwerk vendor_vpn_nat Host 172.16.75.5 Objektnetzwerk übersetzt_ip Host 172.27.27.27 nat (innen, außen) Quellendynamik innerhalb des Netzes übersetzt-ip Ziel statische Vendor-VPN-Nat Vendor-VPN-Nat
Prez