отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Site-to-Site VPN with NAT

Привествую! Возник глупый вопрос по конфигурации.

Имеется cisco ASA 5505, подняты стандартно Site-to-Site VPN-ы с подофисами, на одном из таких чанелов надо теперь занатить внутреннюю сеть. Т.е. например:

внутренняя сетка основного офиса: 192.168.1.0/23

внутреняя сеть подофиса: 172.16.1.0/24

Проблема в том что в подофисе есть тепеь своя сеть дополнительная и она перекрывает 192.168.1.0/23 - т.е. надо сделать так что бы пакеты туда уходили из этой сети с других ip, насколько я понимаю это надо включить двойной нат в настройках\свойсвах конекшена? При создании впн выбирался пункт что бы исключить впн из трансляции адресов (делалось стандртно ASDM визардом) - в аттаче как выглядит сейчас вкладка NAT на этом site-to-site канале.


Собственно вопрос что там выбрать? Насколько я понрмаю мне надо определить дополнительную сеть которая бы натила 192.168.1.0/23 аля скажем  192.168.50.0/23 и вписать её в поле "Action: Translated Packet" в поле "Source Address"? (тип ната так и оствляем Static?) Или ещё что-то надо?

PS ещё вопрос сразу, если внутренних сетей будет несколько в основном офисе и все надо натить - можно выделить просто одну большую подсеть для NAT или надо каждую как то отдельно вписывать? Планируется что по этому впн вобщем то будет ходиьт меньшее число хостов чем есьт в обоих сетях возможно можно и меньший диапазон определиьт для ната, ip же будет в случ.порядке выделяться по мере установления соеденений или надо по размеру в точности соот-е?)

Заранее спасибо!

2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

Site-to-Site VPN with NAT

Исходя из скриншота в аттаче, Вы не странслировали адреса. Да, Вам нужно выбрать неперекрывающийся диапазон и указать его в поле Source Adresses раздела Action: Translated Packet на одной из ASA, например в удаленном офисе. В центральном офисе необходимо прописать маршрут к новой подсети в сторону внешнего интерфейса.

Диапазон 192.168.50.0/23 подойдет для этих целей.

можно выделить просто одну большую подсеть для NAT или надо каждую как то отдельно вписывать?

Как Вам удобнее. На мой взгляд лучше использовать соответствие 1:1, чтобы Вы не запутались.


Site-to-Site VPN with NAT

В двух местах.

1) inbound и outbound ESP sas. Там должны быть указаны SPI и под ними параметры. Это значит "туннель поднят". Если там пустота, то туннель лежит.

2) счетчики encaps и decaps должны расти в обе стороны, если есть трафик. Это значит "хоть что-то по туннелю передается".

9 ОТВЕТ.

test reply - please ignore

test reply - please ignore

Site-to-Site VPN with NAT

Исходя из скриншота в аттаче, Вы не странслировали адреса. Да, Вам нужно выбрать неперекрывающийся диапазон и указать его в поле Source Adresses раздела Action: Translated Packet на одной из ASA, например в удаленном офисе. В центральном офисе необходимо прописать маршрут к новой подсети в сторону внешнего интерфейса.

Диапазон 192.168.50.0/23 подойдет для этих целей.

можно выделить просто одну большую подсеть для NAT или надо каждую как то отдельно вписывать?

Как Вам удобнее. На мой взгляд лучше использовать соответствие 1:1, чтобы Вы не запутались.


New Member

Site-to-Site VPN with NAT

Спасибо за ответ, буду пробовать!

Ещё вопрос: тип НАТа в таком случае если я делаю 1:1 оставить Static?

А если я хочу только 1 ip занатить внутренннюю сеть свою, то Dynamic PAT (Hide)?

New Member

Site-to-Site VPN with NAT

Ещё один вопрос нарисовался:

У меня на гейт выделена группа ip - ес-но на внешнем интерфейсе циски прописан только 1 ip основной который НАТит внутреннюю сетку наружу (Dynamic PAT (Hide)). Другие ip используются при публикации серверов в основном.

Теперь возник нюанс с одним из Site-to-Site VPN-нов. Ему для работы требуется полность выделеный ip так же. Сам ip есьт вопрос в том как указать циске использовать не внешний (дефолтный) ip на интерфейсе при установлении VPN с удалённой точкой, а другой? (естественно это необходимо делаьт только при установлении с одним единсвенным удалённым ip) Мне надо правилами "двойной НАТ" настроить трансляцию адресов так, что бы при генерации пакета с моей циски (source ip = ip cisco 5504 outside inf) на этот удалённый гейт (destination ip = destination ip remote VPN gate) исходный ip менялся на другой? Я правильно понимаю?

New Member

Site-to-Site VPN with NAT

PS какой командой или где в ADSM посомтреть статус VPN тунелей? Конфиг смотрю "show running-config crypto ipsec" но там не совсем ясно статус впн канала на данный момент времени, up он или down!?

New Member

Site-to-Site VPN with NAT

show crypto ipsec sa

New Member

Site-to-Site VPN with NAT

bniselovsky wrote:

show crypto ipsec sa

Добрый день!

А где именно там в выводе смотреть поднят на данный момент тунель или нет? Выдаёт много "Crypto map tag" по всем моим впн S2S - или все которые кажет и есть активные именно? (line up)

Site-to-Site VPN with NAT

В двух местах.

1) inbound и outbound ESP sas. Там должны быть указаны SPI и под ними параметры. Это значит "туннель поднят". Если там пустота, то туннель лежит.

2) счетчики encaps и decaps должны расти в обе стороны, если есть трафик. Это значит "хоть что-то по туннелю передается".

New Member

Site-to-Site VPN with NAT

Понятно спасибо!

448
Просмотры
0
Полезный материал
9
Ответы
СоздатьДля создания публикации, пожалуйста в систему