シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。

L2LのVPNで自分以外の2拠点が重複ネットワークだった場合

例)Site-to-Siteで既にクライアントAと接続してた時、新たにSite-to-SiteでクライアントBとのVPN接続で接続する時に相手のネットワークが重複していた時。

クライアントの方では別のVPN接続もあるのでNATでIPを変更できない場合。

Cisco Adaptive Security Appliance Software Version 8.2(3)
Device Manager Version 6.2(1)

クライアントAのVPN WAN IP (Peer): A.B.C.D

192.168.20.0 netmask 255.255.255.0

接続する必要なサーバA: 192.168.20.5

クライアントBのVPN WAN IP (Peer): E.F.G.H
192.168.20.0

接続する必要なサーバB :192.168.20.5

既にクライアントAともBともVPN Tunnelは確立できているので、

static (outside,inside) 10.10.1.5 192.168.20.5 netmask 255.255.255.255

などIPをStatic NATしようともするが、Source IPが同じ為不可能。

tunnel-group などでVPNごとにStatic NATを振ることができるでしょうか?

もしくは

接続に必要なサーバは一つなので

tcpのポートを変えてSorce IPを変更可能でしょうか?

static (outside,inside) tcp 192.168.20.5 45098 10.10.1.5 45098 netmask 255.255.255.255

static (outside,inside) tcp 192.168.20.5 45099 10.10.1.6 45099 netmask 255.255.255.255

※上の設定は試してみましたがtcp ポートで別れてくれませんでした。

4 件の返信

Re: L2LのVPNで自分以外の2拠点が重複ネットワー

こんにちは。

ASA 側で対応するのは、(可能かもしれませんが)困難だと思います。

>クライアントの方では別のVPN接続もあるのでNATでIPを変更できない場合。

上記について、具体的に教えて頂く事は可能でしょうか?

また、クライアントA,B というのは、Ciscoルータが接続されてると考えて良いですか?

簡単でもいいので、構成図を頂けると助かります。

Re: L2LのVPNで自分以外の2拠点が重複ネットワー

ありがとうございます。

>>クライアントの方では別のVPN接続もあるのでNATでIPを変更できない場合。

>上記について、具体的に教えて頂く事は可能でしょうか?

クライアントと書いてClient VPNとややこしくなってたらすみません。クライアントA、BをSite A、Bでもうちょっと詳しく書いてみます。

**********************

=== VPN

〇:インターネット

MyASA:私のASA

接続する必要なサーバA (Site A内) 192.168.20.5

接続する必要なサーバB (Site B内):192.168.20.5

MySRV 私のサーバ(ASA Inside インターフェース内部)

***********************

1.MyASAもSite A、Site Bも内部サーバに対してL2LVPNを複数持っていますが、基本的に一対一のL2L

VPNのルールとして設定していて、例えば

MyASA-==〇===Site A

                \

                  ======Site B

最終的に上記の形にVPNを接続するとしてもSite A と Site BはVPN接続なし

VPNはMyASAとSite A、MyASAとSite Bのみとなる予定です。

NATでIPを変更できない

と書いたのは

Site A,Bともに先ほど書いた様にほかのSiteとVPNを張っているのでもしStatic NATでソースIPを変更したとしても、彼らの方でその他に既につないでいた別のVPN Siteの設定などもすべて変えなければならないのでできないということです。

>また、クライアントA,B というのは、Ciscoルータが接続されてると考えて良いですか?

Site A、Bどちらかが Ciscoがあればたぶん http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080b37d0b.shtml

で対応できそうな気もしたのですが

機材は不明なパターンもあるのと

私のテスト環境はSonicwallとPIX(Ver 6.2(2))で、

PIXにはStatic NATルールにAccess-listを追加できなかったのでテストできてなく、

Sonicwallは設定はしてみたのですがうまく行かなかったのでこちらの設定だけでなんとかなるか試してみたところでした。

>簡単でもいいので、構成図を頂けると助かります。

基本的には、

MyASA-==〇===Site A

MyASA-==〇===Site B

で単純なのですが、

相手のサーバのソースIPが同じ(192.168.20.5)なので、うまいことVPNごとにNATをしたいというところでした。

Re: L2LのVPNで自分以外の2拠点が重複ネットワー

ご回答ありがとうございます。

私もサイト側のルータ等で「ポリシーNAT」を使用する事で(別の VPN 接続があったとしても)
対応可能と考え、サイト側の装置について質問させて頂きました。

サイト側でソース NAT ができないという前提で考えると、私個人の回答としては「対応不可能」です。

Masafumi さんが既に試されたように、ASA 側で宛先アドレスの変換を行う必要がありますが、同じアドレスを、

複数のアドレスへ変換するには、Multiple Context や、VRF 等により、各テーブルを論理的に分離する必要があります。

しかし、Multiple Context では、下記にあるように VPN に対応しておらず、VRF もサポートしていません。
http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/contexts.html#wp1116132

お役に立てず申し訳けありません。

どなたか、良案があればご教示をお願いします。

Re: L2LのVPNで自分以外の2拠点が重複ネットワー

ありがとうございます。

提携会社やグループ会社などで他にもありそうな例だと思ったので、なにかあるかと思って考えているところでした。

現状テストを続けていますが、一番最初に書いた

static (outside,inside) tcp 192.168.20.5 45098 10.10.1.5 45098 netmask 255.255.255.255

static (outside,inside) tcp 192.168.20.5 45099 10.10.1.6 45099 netmask 255.255.255.255

で実際のサーバーで試したところ

でポートごとに送り先を変えて(10.10.1.5 と10.10.1.6へ別のSiteへ通信をしている)通信がうまくいっています。

しかしながら

受けるときに対してはどちらのjobも192.168.20.5のIPからきていると認識されてしまう状況でした。

(実際の処理は処理IDがあったので、同じIPから届いた(192.168.20.5)別の処理として自サーバー側で問題なかったですが)

なにか他に良いアイディアがあればと思っている状況です。

2382
閲覧回数
4
いいね!
4
返信