kai199418 发表于 2017-7-21 17:46:33

ASA ipsec VPN 配合二次nat (个人觉得很复杂)

附件中是拓扑图,是这样的,美国的两个公司相互做site to site VPN, 要求访问图中的server(192.168.200.65),但是客户那边IT说要在IPSEC隧道访问个公网地址(注意,不是把server映射到公网地址),我的理解就是把这个server(192.168.200.65)先nat成10.20.10.21 ,再把(10.20.10.21)nat成96.50.38.201,图中的路由器是COMCAST,不是思科路由器,没法做ipsecvpn但能做nat转换, 只能从图中的防火墙做ipsec VPN。这个小弟不才,觉得就有点难实现了,心中没什么思路。哪位大神能给我点建议不。或者提个能解决上面客户的需求。

meng_an 发表于 2017-7-22 23:20:54

1.我感觉看见这个图怪怪的,一般防火墙都在路由器上层。

meng_an 发表于 2017-7-22 23:24:53

1.我感觉看见这个图怪怪的,一般防火墙都在路由器上层。

meng_an 发表于 2017-7-22 23:25:06

1.我感觉看见这个图怪怪的,一般防火墙都在路由器上层。

kai199418 发表于 2017-7-23 10:12:33

meng_an 发表于 2017-7-22 23:20
1.我感觉看见这个图怪怪的,一般防火墙都在路由器上层。

是啊,但这是在美国的网络供应商提供的路由器

kai199418 发表于 2017-7-23 10:12:39

meng_an 发表于 2017-7-22 23:20
1.我感觉看见这个图怪怪的,一般防火墙都在路由器上层。

是啊,但这是在美国的网络供应商提供的路由器

worm1943 发表于 2017-7-24 00:03:20

直接从防火墙做vpn就行了,注意策略

zhurx 发表于 2017-7-24 13:41:30

客户那边IT说要在IPSEC隧道访问个公网地址, 这话描述不对。
--IPSEC隧道内访问192.168.200.65是需要用公网IP的,IPSEC VPN内对端访问192.168.200.65,就类似于LAN内的通讯。
--客户提及192.168.200.65时说用公网IP, 那就是要用firewall做静态NAT,用ACL允许inbound的流量。

我建议的topo如图所示(保留COMCAST ),最好能放弃COMCAST router.
--加个switch-1 做二层交换机,做internt switch, 提供firewall and comcast的两个设备单流量独上网。
--firewall 上做IPSEC VPN, 静态NAT to 192.168.200.65
--用户上网的流量NAT 去comcast.

zhurx 发表于 2017-7-24 13:42:56

更正关键字。
--IPSEC隧道内访问192.168.200.65不需要用公网IP的,IPSEC VPN内对端访问192.168.200.65,就类似于LAN内的通讯。

kai199418 发表于 2017-7-24 14:51:02

zhurx 发表于 2017-7-24 13:41
客户那边IT说要在IPSEC隧道访问个公网地址, 这话描述不对。
--IPSEC隧道内访问192.168.200.65是需要用公网 ...

因为美国那边好多公司再购买网络的时候,网络供应商都会提供comcast路由器,而且私网地址都是10.20.10开头的,他们ipsec vpn 的话都去访问10.20.10.x 的地址,但是公网地址不会冲突,所以他们说site to site VPN ,ACL 写的公网地址而不是私网地址

zhurx 发表于 2017-7-24 15:14:48

IPSEC VPN 是LAN to LAN 的,也称为site to site VPN. 每个site的IP都不能相同,site 之间访问,直接用LAN IP就可以了。如果是中心对多个sites的VPN设计,必须由总部规划每个site IP, 不能有同样的IP 存在两个site.你说的10.10.20.0/24,这个是internet router的default 默认配置,在不同的工作环境里需要对LAN IP进行修改。像我们国内的家用上网路由器,LAN IP 很多都是192.168.0.X,如果只是家里人用用上网,LAN IP就不需要修改了。

kai199418 发表于 2017-7-26 11:28:42

zhurx 发表于 2017-7-24 15:14
IPSEC VPN 是LAN to LAN 的,也称为site to site VPN. 每个site的IP都不能相同,site 之间访问,直接用LAN...

注意,是和客户的公司做IPSEC vpn,要是我们自己的分公司,就不会把防火墙外网口弄成私网地址。也会做成lan to lan 但是在美国,他们大多数都是防火墙外网口是私网地址。客户的要求是,在IPSEC 隧道里 只接收一个来自特定的公网地址发过来的包,这个实在是太恶心了。举个例子:你把你内网服务器映射成百度的IP,他们的防火墙看到是来自于百度的IP,就会允许这个包通过,然后进入他们的内网。同样,他们的内网想访问我们的服务器,就先通过百度的IP。

kai199418 发表于 2017-7-26 11:28:48

zhurx 发表于 2017-7-24 15:14
IPSEC VPN 是LAN to LAN 的,也称为site to site VPN. 每个site的IP都不能相同,site 之间访问,直接用LAN...

注意,是和客户的公司做IPSEC vpn,要是我们自己的分公司,就不会把防火墙外网口弄成私网地址。也会做成lan to lan 但是在美国,他们大多数都是防火墙外网口是私网地址。客户的要求是,在IPSEC 隧道里 只接收一个来自特定的公网地址发过来的包,这个实在是太恶心了。举个例子:你把你内网服务器映射成百度的IP,他们的防火墙看到是来自于百度的IP,就会允许这个包通过,然后进入他们的内网。同样,他们的内网想访问我们的服务器,就先通过百度的IP。

zhurx 发表于 2017-7-26 14:12:52

kai199418 发表于 2017-7-26 11:28
注意,是和客户的公司做IPSEC vpn,要是我们自己的分公司,就不会把防火墙外网口弄成私网地址。也会做成l ...

你需要慢慢理解,你所拥有的设备资源和可以支持的技术。static nat 一对一的MAP只能在firewall上做,IPSEC VPN也只能在你的firewall上做。
Static nat 一对一技术就是支持从外面过来访问192.168.200.65的inbound 流量,当然外面的用户只能通过公网IP。
如果双方做了site-to-site VPN,访问对方LAN内的资源用真实IP就可以了,不需要用到公网IP。




♂布兜★ 发表于 2017-8-3 17:35:00

亲测可以实现。
步骤如下:
1、96.50.38.200上映射10.20.10.20的udp500和4500端口,以便贵公司主动发起协商并与客户公司建立一二阶段的SA
2、配置ipsec vpn,重点是感兴趣流,在10.20.10.20上配置感兴趣流,源为96.50.38.200,目的为贵公司网段。贵公司的感兴趣流反过来配。
3、在10.20.10.20上配置NAT。将192.168.200.65需要映射的端口映射至96.50.38.200
页: [1]
查看完整版本: ASA ipsec VPN 配合二次nat (个人觉得很复杂)