Cześć,
Mam taki problem: mam do zestawienia tunel l2l. Host z mojej podsieci czyli np . 192.168.10.10 ma być dostępny dla hosta z drugiej strony po tunelu. Z tym że host z mojej podsieci 192.168.10.0/24 pokrywa się z podsiecią z drugiej strony. Chce w takim razie przeNATować adres 192.168.10.10 na jakaś fikcyjną sieć np. 172.32.100.0/24. Czy na ASI-e da się przenatować adres hosta 192.168.10.10 na całą fikcyjną sieć czyli nat z 192.168.10.10 na 172.32.100.0/24 ? Czy po prostu mam wyznaczyć z tej fikcyjnej sieci np. adres 172.32.100.1 i na niego natować mojego hosta ?
Static NAT - CISCO ASA
Jeśli masz wrzucić do tunelu tylko 1 hosta, czyli tego 192.168.10.10, to można zrobić workaround. Mianowicie, sprawiasz, że po drugiej stronie, która ma mieć dostęp do wspomnianego hosta, jego adres nie będzie rozdawany przez DHCP, potem robisz STATIC route 192.168.10.10/32 na interface na którym zestawiasz tunel. oczywiście w crypto mapie odpowiednią ACLke. Oczywiście zadziała to jeśli u siebie w podsieci 192.168.10.0/24 masz tylko tego hosta, ale pewnie nie
Jeśli chodzi o natowanie, to oczywiście możesz zrobić NAT, jeśli decydujesz się, aby tylko jeden host u Ciebie był dostępny to robisz STATIC NAT DESTINATION, a tunel zestawiasz z IP ZDALNE 192.168.10.0/24 do LOKALNE 172.32.100.1/32
przykład
Ogólnie jeśli to możliwe i są to Twoje oddziały to starałbym się zmienić adresację prywatną. Zakładam, że zdalna lokalizacja to tylko klienci a u Ciebie jest serwer, tak więc jak zmienisz ustawienia DHCP dla klientów to raczej nie będzie problemu i dla Ciebie mniejszy efort i bardziej przejrzysta konfiguracja.
Dodatkowo moje zdanie to NATowania unikać tam gdzie można, bo potem łatwiej robić troubleshoot.
Jeśli chodzi o natowanie, to oczywiście możesz zrobić NAT, jeśli decydujesz się, aby tylko jeden host u Ciebie był dostępny to robisz STATIC NAT DESTINATION, a tunel zestawiasz z IP ZDALNE 192.168.10.0/24 do LOKALNE 172.32.100.1/32
przykład
Kod: Zaznacz cały
ASA(config)# static (INSIDE,OUTSIDE) tcp 172.32.100.1 HTTP 192.168.10.10 netmask 255.255.255.255
Dodatkowo moje zdanie to NATowania unikać tam gdzie można, bo potem łatwiej robić troubleshoot.
Zgadza się, tak byłoby najlepiej aby nie był przydzielany przez DHCP, z tym że niestety ale ja tam nie mam dostępu. Tym zarządza kto inny i niestety nie może wydzielić tego adresu ponieważ jest już u nich zajęty...No niestety nie tylko ten host jest w te mojej podesieci..Czyli co wyznaczyć jakiś fikcyjny adres z fikcyjnej sieci i natować moj prawdziwy adres hosta na fikcyjny adres hosta i poinformować drugą stronę aby puściła ACL na tego fikcyjnego hosta po mojej stronie ?b4n3 pisze:Jeśli masz wrzucić do tunelu tylko 1 hosta, czyli tego 192.168.10.10, to można zrobić workaround. Mianowicie, sprawiasz, że po drugiej stronie, która ma mieć dostęp do wspomnianego hosta, jego adres nie będzie rozdawany przez DHCP, potem robisz STATIC route 192.168.10.10/32 na interface na którym zestawiasz tunel. oczywiście w crypto mapie odpowiednią ACLke. Oczywiście zadziała to jeśli u siebie w podsieci 192.168.10.0/24 masz tylko tego hosta, ale pewnie nie
Jeśli chodzi o natowanie, to oczywiście możesz zrobić NAT, jeśli decydujesz się, aby tylko jeden host u Ciebie był dostępny to robisz STATIC NAT DESTINATION, a tunel zestawiasz z IP ZDALNE 192.168.10.0/24 do LOKALNE 172.32.100.1/32
przykładOgólnie jeśli to możliwe i są to Twoje oddziały to starałbym się zmienić adresację prywatną. Zakładam, że zdalna lokalizacja to tylko klienci a u Ciebie jest serwer, tak więc jak zmienisz ustawienia DHCP dla klientów to raczej nie będzie problemu i dla Ciebie mniejszy efort i bardziej przejrzysta konfiguracja.Kod: Zaznacz cały
ASA(config)# static (INSIDE,OUTSIDE) tcp 172.32.100.1 HTTP 192.168.10.10 netmask 255.255.255.255
Dodatkowo moje zdanie to NATowania unikać tam gdzie można, bo potem łatwiej robić troubleshoot.
Zaleznie od tego jaka masz wersje softu i mozna to zrobic na kilka sposobow, ale najprosciej jest jak poprostu obie strony zrobia policy nat
i teraz w crypto mapie lapiesz sobie 172.16.10.0 255.255.255.0 172.16.20.0 255.255.255.0
od 8.3 konfiguracja wygladac bedzie inaczej ale zalozenie jest to samo.
Kod: Zaznacz cały
Peer A
Access-list policy_nat permit ip 192.168.10.0 255.255.255.0 172.16.20.0 255.255.255.0
static (inside,outside) 172.16.10.0 access-list policy_nat
Peer B
Access-list policy_nat permit ip 192.168.10.0 255.255.255.0 172.16.10.0 255.255.255.0
static (inside,outside) 172.16.20.0 access-list policy_nat
i teraz w crypto mapie lapiesz sobie 172.16.10.0 255.255.255.0 172.16.20.0 255.255.255.0
od 8.3 konfiguracja wygladac bedzie inaczej ale zalozenie jest to samo.
Zawsze jest coś czego możesz się nauczyć