NAT avec VPN de site à site et LAN distants avec la même adresse IP

8

J'ai un ASA5510 pour connecter les clients à mon entreprise. J'utilise un VPN IPSec de site à site avec une variété de fournisseurs de l'autre côté (Cisco, Sonicwall, Zyxel, Checkpoint, etc ...).

Pour chaque LAN distant, je traduis le client réseau en une seule adresse IP; par exemple:

  • Client1 192.168.1.0/24 PAT dynamique (masquer) abc1 / 24
  • Client2 172.16.0.0/16 Dynamic PAT (masquer) abc2 / 24
  • Client3 172.17.4.0/26 PAT dynamique (masquer) abc3 / 24

Tout fonctionne bien avec la configuration actuelle, mais maintenant j'ai un nouveau client (ClientN) avec la même adresse IP que Client1. J'ai essayé "ClientN 192.168.1.0/24 Dynamic PAT (hide) abcn / 24", mais quand je l'ai fait, Client1 a perdu la connexion et j'ai dû supprimer le réseau de ClientN ...

Avez-vous une idée d'autoriser les mêmes adresses IP distantes à utiliser VPN?

J'utilise ASDM pour configurer l'ASA.

lmperso
la source
Quelle version ASA utilisez-vous? Vous voudrez peut-être examiner Cisco Twice Nat . Je ne connais pas suffisamment les configurations de Twice Nat pour donner une réponse correcte, mais cela devrait vous permettre d'annoncer le réseau distant en tant que sous-réseau différent à votre emplacement.
Luke
1
Nous devons savoir quel type d'appliance VPN que Clientn utilise et, espérons-le, une copie texte de cette configuration. Pourriez-vous mettre à jour la question?
Mike Pennington
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

1

Si votre ASA prend en charge plusieurs contextes, vous pouvez essayer cela. Cela signifie que vous virtualiserez votre ASA. Vous pouvez avoir certains clients dans un contexte et d'autres dans un autre contexte.

mihai
la source
Vous ne pouvez pas utiliser VPN avec plusieurs contextes sur un ASA.
ewwhite
1
La prise en charge des tunnels de site à site en mode de contexte multiple a été ajoutée dans 9.0 (1) .
James Sneeringer
-2

Traduction d'adresse réseau bidirectionnelle (deux fois nat).

Vous pouvez utiliser source nat avec destination nat.

Vous pouvez trouver de nombreuses informations à ce sujet, par exemple: http://www.youtube.com/watch?v=joiKul3SV5s

Prez
la source
3
Pouvez-vous fournir plus de détails pour améliorer cette réponse? Par exemple, des exemples de configuration, des pointeurs vers des documents officiels, de meilleures descriptions, etc.? Dire à quelqu'un que vous pouvez trouver beaucoup d'informations à ce sujet n'est pas suffisant, et SE préfère ne pas avoir de réponses qui sont principalement des liens car elles sont sujettes à la pourriture des liens.
Apprendre
Bonjour j'ai vu la vidéo sur NAT et ASA. C'est très intéressant mais ça ne parle pas de VPN et je pense qu'il manque (pour moi). Cordialement
lmperso
si vous utilisez asa 8.3 ou une version ultérieure: réseau d'objets sous-réseau dans le réseau interne 192.168.1.0 255.255.255.0 réseau d'objets dans le fournisseur vendv_vpn_nat hôte 172.16.75.5 réseau d'objets réseau traduit_ip hôte 172.27.27.27 nat (intérieur, extérieur) source dynamique intérieur-net traduit ip-source destination statique vendor-vpn-nat vendor-vpn-nat
Prez