Kolega prosil o nat na Asie a nie na routerach
Kiedys juz cos takiego komus pisalem wiec...
Zalozmy ze twoja siec znajduje sie na asa za interfejsem INSIDE a siec partnera jest dostepna za interfejsem OUTSIDE.
Zalozmy ze wasze sieci to 10.0.0.0/24
Musisz wiec znatowac sieci tak aby partner widzial ciebie jako na przyklad 10.1.0.0/24 a ty bedziesz widzial partnera jako na przyklad 10.2.0.0/24.
Tak wiec nikt z was nie bedzie musial zmieniac adresacji i bedziecie widziec druga strona jako inna siec.
Ponizej konfig NATU na ASIE(dla ASA 7.x and 8.0.x - 8.2.x) :
Kod: Zaznacz cały
#natujemy twoja siec na 10.1.0.0/24
access-list acl_nat_lan1 extended permit ip 10.0.0.0 255.255.255.0 10.2.0.0 255.255.255.0
static (inside,outside) 10.1.0.0 access-list acl_nat_lan1
#natujemy siec partnera na 10.2.0.0/24
access-list acl_nat_lan2 extended permit ip 10.0.0.0 255.255.255.0 10.1.0.0 255.255.255.0
static (outside,inside) 10.2.0.0 access-list acl_nat_lan2
DO vpna uzywasz swojej znatowanej sieci i oryginalej sieci partnera czyli
Kod: Zaznacz cały
#10.1.0.0 twoja siec po natowaniu
#10.0.0.0 siec partnera po zdenatowaniu
access-list acl_vpn extended permit ip 10.1.0.0 255.255.255.0 10.0.0.0 255.255.255.0
Jesli masz w konfigu
to ruch z vpn musi przejsc przez access-liste. Tak wiec na access-liscie na interfejsie outside wpisujesz adresacje oryginalna partnera przed natowaniem czyli
Kod: Zaznacz cały
access-list acl_outside extended permit tcp 10.0.0.0 255.255.255.0 10.1.0.0 255.255.255.0
Jesli masz wersje 8.3, 8.4 albo wyzej to musisz inaczej zrobic nat bo w tych wersjach nat zostal calkowicie przeorganizowany
Mala uwaga:
Taki nat bedzie dzialal pod warunkiem ze routing do partnera wychodzi takim samym interfejsem co twoja trasa domyslna na asie.
Chodzi o to ze ASA musi znalez routing do oryginalnej sieci partnera.
Cisco config guide podaje ze jeli siec partnera znajduje sie za innym interfejsem niz brama domyslna to nalezy rozdzielic siec na dwie podsieci.
Czyli teoretycznie mialoby byc
Kod: Zaznacz cały
route outside 10.0.0.0 255.255.255.128 gatweay_ip_to_partner
route outside 10.0.0.128 255.255.255.128 gatweay_ip_to_partner
Tylko ze niestety to nie zadziala bo wtedy bedzie problem z dotarciem do twojej sieci z innych vlanow(zakladajac ze takie sa) bo asa wybierze bardziej szczegolowy routing i posle to na inny interfejs zamiast wyslac do sieci lokalnej.
Swoja drogą jak ktos wie jak rozwiązać taki problem na asie 8.0x-8.2 to bedzie fajnie.