キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
2111
閲覧回数
0
いいね!
5
返信

ポリシーベースVPN(IPSec)上でのPATとstatic NATの併用

id103142
Level 1
Level 1

添付のネットワーク構成で、現状PATを既に設定中のInterfaceにstatic NAT をかけて特定のサーバと通信させたいのですが

実現可能でしょうか?

検証環境が用意できない状況の為、どなたかご確認いただけますと幸いです。

確認点としては以下になります。

・既にPAT利用中の拠点AのVPN接続インターフェイスにサーバA用のスタティックNATを設定する。

・サーバA、サーバB間の通信は既存VPN上を通り、サーバAのスタティックNATを使用して通信する。(別途サーバA用のIPsecVPN設定は追加しない)

5件の返信5

Akira Muranaka
Level 8
Level 8

こんにちわ。 

VPNに詳しい他の同僚にも聞いてみましたが、殆ど見たことのない構成のようです。通常、サイト間VPNを行う場合は、そのVPN通信はNAT処理の除外対象にします。 

記載の通信要件を実現されたい場合、複雑性回避のためにも、VPN装置と NAT装置は分離する事が個人的にはお勧めです。 設計や検証もシンプルになり、トラブル時の切り分けも容易になるかと思います。

もしくは、一旦ローカル環境で要検証な構成かな、と思いました。

返信ありがとうございます。

しかしながらこれは拠点Aと拠点Bは異なる会社間から成っており、

今回のサーバAを追加する要件でそこまでの構成変更は難しい状況の為、あるべき構成はさて置いて

今回の構成が可能か確認したい状況です。

こんにちわ。

現状、1.1.1.1⇔2.2.2.2の間でサイト間VPNを接続してる状態かと思うので、もう1つ 1.1.1.2⇔2.2.2.2間のサイト間VPNは必要じゃないかなぁ、と思います。

あとは、1.1.1.2宛の通信を以下URL等を参考に、1.1.1.2→192.168.1.100に変換してあげればいいのかなと思います。
https://www.ifconfig.it/hugo/post/cisco-asa-vpn-with-over-overlapping-addresses-and-twice-nat/
http://resources.intenseschool.com/l2l-vpn-on-cisco-asa-with-overlapping-addresses-access-to-both-asas/

ただ、1.1.1.1と 1.1.1.2 (本当に利用してるのがこのIPのように連番)の場合、例えば1.1.1.0/24のネットワーク内のIPアドレスだと、同じセグメント内で複数IPアドレスを持つには マルチコンテキストモードの利用が必要です。 その場合は、ASA5505では マルチコンテキストは動作できないので構築・実現困難です。

また、SSGが絡んでる時点でも複雑な構成なので、導入後にトラブルが発生すると設計責任を問われるリスクが高いと思われます。 特に複雑かつ 実績の少ない構成ほど、机上の理論と 実際の動作は一致しない事も多いので、お気をつけて。 要検証な構成だと思いますよ。

色々とコメント・アドバイスありがとうございます!

仰る通りかなり不安な構成な上、検証環境が用意できないもので

こちらのフォーラムでエキスパートな方から技術的観点で是非のコメントもらえれば少しは安心できる状況なのですが、やっぱり無理そうでしょうか・・・

>現状、1.1.1.1⇔2.2.2.2の間でサイト間VPNを接続してる状態かと思うので、もう1つ >1.1.1.2⇔2.2.2.2間のサイト間VPNは必要じゃないかなぁ、と思います。

ちなみに、拠点A/B間のVPN初期構築時の拠点A側の一部設定を見つけました。

全容ではなさそうですが・・・

crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto map TESTMAP_Outside-1 19 match address TEST_IPSEC
crypto map TESTMAP_Outside-1 19 set peer 2.2.2.2
crypto map TESTMAP_Outside-1 19 set transform-set ESP-AES-128-SHA
crypto map TESTMAP_Outside-1 19 set security-association lifetime seconds 3600
crypto map TESTMAP_Outside-1 19 set nat-t-disable
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400

access-list TEST_IPSEC extended permit ip host 1.1.1.1 192.168.2.0 255.255.255.0

なお、添付の絵では省略してますが、拠点B側のLAN内にあるFWで拠点Aからの通信は1.1.1.1にNAPTされていることを確認済みです。

こんにちわ。

閉域網(IP-VPNなど)で さらにVPNで暗号化が必要な要件の環境かな、と思うのですが、頂いた設定の場合、1.1.1.1⇔2.2.2.2のピア間でVPNを貼ってるので、1.1.1.2⇔2.2.2.2間でVPNを貼る場合は 別のピアが必要です。 つまり、ASA側に 1.1.1.2宛のIPを受信できるインターフェイス設定が必要になるので、マルチコンテキストに対応するASAの利用か もしくはASA5505 or ASA5506を追加で1台購入しないと実現が難しく、ASA5505 1台のみだと実現不可だと思います。 予算が確保可能であり、ASA5505 or ASA5506を1台追加購入可能な場合は、ASA5505/5506側は 既存ASA設定を流用し、IPとNAT設定だけ変更すればいいので、比較的設計・構築は楽だと思います。

なお、経路をVPNで暗号化しなくていいので ASA5505 1台で構築したい、という場合は、1.1.1.2宛の通信をProxy ArpでNATする設定をASAにすれば、容易に実現可能な構成です。 ただ、閉域網(?)内はトラフィックが暗号化されないので、サーバーA~サーバB間の通信は、HTTPSや FTPSなど暗号化されたプロトコルのみ利用を認める事で、WAN通信の暗号化要件はクリアは可能なのかなぁ、と思います。

もしくは、既存ASA5505 1台案の場合は、1.1.1.2の利用はあきらめ、1.1.1.1宛の特定ポート宛の通信(例えば 1.1.1.1/80宛)は、192.168.1.100/80や192.168.1.100/443など任意IP・ポート宛先に変換する案のほうが現実的かと思います。 この場合は、既存のPAT用のNATエントリの上に、上記変換を可能にするStaticなTwice NAT(Manual NAT)を追加してあげれば、動作すると思います。  対向機器の設定変更も少なく、既存設定の殆どを流用できるので導入が楽です。