取消
显示结果 
搜索替代 
您的意思是: 
cancel
3184
查看次数
0
有帮助
5
回复

IPSecVPN 和接口NAT

linwei22403
Beginner
Beginner
我现在是 两段私网通过 公网 做IPSec VPN ,用的ASA防火墙。
目前两段私网可以互通,但是其中一边的私网 需要NAT至公网,访问Internet,我只要配上NAT,ipsec就不通了,有什么好的解决办法吗
1 个已接受解答

已接受的解答

ilay
Collaborator
Collaborator
配置NAT豁免应该就可以了9.x配置示例
!
object network sslvpn-subnet
subnet 10.1.65.0 255.255.255.0
object-group network qvpn-subnet
network-object 172.19.25.0 255.255.255.0
network-object 172.19.26.0 255.255.255.0
object-group network pcp-local-subnet
network-object 10.1.66.0 255.255.255.0
network-object 10.1.67.0 255.255.255.0
!
nat (inside,outside) source static pcp-local-subnet pcp-local-subnet destination static qvpn-subnet qvpn-subnet no-proxy-arp route-lookup
nat (inside,outside) source static pcp-local-subnet pcp-local-subnet destination static sslvpn-subnet sslvpn-subnet no-proxy-arp route-lookup
!

在原帖中查看解决方案

5 条回复5

ilay
Collaborator
Collaborator
配置NAT豁免应该就可以了9.x配置示例
!
object network sslvpn-subnet
subnet 10.1.65.0 255.255.255.0
object-group network qvpn-subnet
network-object 172.19.25.0 255.255.255.0
network-object 172.19.26.0 255.255.255.0
object-group network pcp-local-subnet
network-object 10.1.66.0 255.255.255.0
network-object 10.1.67.0 255.255.255.0
!
nat (inside,outside) source static pcp-local-subnet pcp-local-subnet destination static qvpn-subnet qvpn-subnet no-proxy-arp route-lookup
nat (inside,outside) source static pcp-local-subnet pcp-local-subnet destination static sslvpn-subnet sslvpn-subnet no-proxy-arp route-lookup
!

wyc_chao
Beginner
Beginner
用ACCESS LIST做分离

huoran1234
Participant
Participant
上网肯定是内网-To-Any的NAT,如果有IPSec的话就要将将两端内网的地址做No-NAT处理,也就是IPSec中ACL匹配的指定源到指定目的不做NAT。

linwei22403
Beginner
Beginner
gengchunlin 发表于 2021-2-1 08:25
配置NAT豁免应该就可以了9.x配置示例
!
object network sslvpn-subnet

已经可以 实现功能了,请教一下
no-proxy-arp 这个命令 的作用是什么 ,我没敲也通了

ilay
Collaborator
Collaborator
linwei22403 发表于 2021-2-1 16:29
已经可以 实现功能了,请教一下
no-proxy-arp 这个命令 的作用是什么 ,我没敲也通了

是禁用asa的代理arp功能,具体的适用情形真没怎么注意过,貌似在某种特定情形下,asa的代理arp会造成通信异常的问题。。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:





快捷链接