Hola Ricardo:

Tengo el siguiente escenario y quisiera me ayudaras a resolverlo de la mejor manera

El ASA 5515 solo tiene una interfaz Outsite con su IP publica, y requerimos entregar diferentes ip publica para que hagan las VPN esto porque no puedo mezclar los ambientes de desarrollo con produccion.

Es posible realizar esto? tengo un pool de 30 IP publicas.

Hola Alan:

   No es posible hacer esto con una sola interfaz, ya que cada crypto map solo se relaciona directamente con la interfaz y la IP principal configurada, entonces aunque tuvieras un router con IP's secundarias, tampoco sería posible hacer esto. Se me ocurren otras dos opciones que podrías intentar en este caso:

* Utilizar subinterfaces en el ASA. Esto requeriría que conectaras el ASA al puerto trunk de un switch y hacer subnetting de tu rango de IP's para poder enrutar desde dos interfaces "diferentes" en redes diferentes. Pero requerirías tener control sobre el ruteo y switch en donde conectes el ASA.

* Puedes hacer un NAT estático en el ASA y asignarle a otro equipo una IP pública distinta a través de esta configuración. De esta manera, es el segundo equipo atrás del ASA el que establecería el túnel. Tendrías un túnel creado por el ASA con su IP pública y un segundo equipo estableciendo un segundo túnel que es traducido a través de NAT por el ASA. Por supuesto, tendrías que permitir que ISAKMP, NAT-T (dependiendo de la negociación del Checkpoint) y ESP en el access-list del ASA para dejar pasar el tráfico encriptado hasta el VPN peer interno.

Saludos.

Rick.

Hola Ricardo,

Con las 2 opciones que me brindas le podría entregar 2 IP Publicas distintas para que realicen el VPN?

Para la segunda opción que creo que es la que es mas fácil, me corriges si me equivoco. 

- Seria en el NAT rules crear un NAT estático ip publica hacia otro equipo(este otro equipo cual tendría que ser)

- El ISAKMP seria agregarlo a la access-list de la interfaz outside o inside?

Disculpa que pregunte tanto y quizás algunas cosas que sean obvias pero tengo muy poco tiempo de trabajar con este tipo de equipos y me urge solucionar este problema. 

Saludos,

Alan

Hola Alan:

   Sí, con cualquiera de las dos opciones podrías usar dos IP's distintas para dos túneles diferentes. Como bien mencionas, la segunda opción es la más sencilla, pero requieres de otro equipo capaz de establecer una VPN, puede ser un router o un firewall y en el ASA lo que tendrías que hacer es hacer un NAT estático con el que traduces una de las IP's públicas que tienes disponibles para la IP interna de este segundo equipo. Sobre el access-list depende de tu diseño y si es que tienes una en la interfaz inside, si no tienes ningún access-group en la inside, solo sería en la outside porque tienes que dejar pasar el tráfico encriptado a través del firewall y hasta el equipo que va a terminar tu segunda VPN.

Saludos,

Rick.

Hola Ricardo:

De alguna forma se puede realizar sin tener que utilizar otro equipo adicional?

Saludos,

Allan

Hola Alan:

La verdad solo se me ocurre la otra opción que te mencioné. El problema es que se requieren o dos interfaces diferentes o dos equipos diferentes para formar dos túneles con dos IP's distintas.

Saludos,

Ricardo.