Buy or Renew
Buy or Renew
Duo Security forums now LIVE! Get answers to all your Duo Security questions. Learn more
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
cancel
Start a conversation

Who Me Too'd this topic

NAT de destino en versión 8.2(5) Firewall ASA 5510

aortega3107
Level 1
Level 1

‎06-04-2013 08:42 AM

Tengo un firewall ASA 5510 con la versión 8.2(5) del IOS, el cual utilizo como concentrador de VPNs. Actualmente tengo configurados varios túneles VPN hacia localidades remotas, sin embargo necesito configurar nuevos túneles y el inconveniente que ha surgido es que los nuevos sitios remotos tienen el direccionamiento que ya está siendo utilizado por otro sitio que ya tiene una VPN tipo site to site activa en el firewall ASA.

La solución es implementar un NAT, sin embargo en muchos de los casos no es posible realizar modificaciones en el equipo remoto con el cual se establecerá el nuevo túnel VPN S2S, por lo que es necesario que el NAT de las direcciones y segmentos remotos se haga del lado del firewall ASA únicamente. He implementado un concepto de "NAT de destino" que encontré en algunos foros, sin embargo no he tenido buenos resultados para que el túnel VPN hacia los sitios que tienen éste problema de direccionamiento pueda levantar.

La siguiente tabla muestra un esquema del requerimiento de implementación para el NAT y para la configuración del túnel VPN:

1. Considerar que ya existe un túnel VPN en el cual se tiene definido toda la red 10.0.0.0/8 y es necesario agregar un nuevo túnel VPN para un nuevo sitio remoto que tiene como direccionamiento al segmento 10.1.2.0/27

Requerimiento original de comunicación:

Origen:172.23.191.0/25  (red local)

Destino: 10.1.2.0/27 (red remota)

Nota: Para el caso anterior estoy proponiendo traducir el segmento real remoto (10.1.2.0/27) con el segmento 172.31.254.0/27

Dentro de los parámetros del túnel VPN la red local corresponde a la 172.23.191.0/25 y la red remota será el segmento NAT (172.31.254.0/27) y para propociar la generación de tráfico únicamente consideraré el NAT de un host del segmento remoto.

Implementación del NAT de destino con un sólo host como prueba

Paquete   Original (entrante en la interface inside del ASA)

Paquete   traducido (en la forma que sale en la interface outside del ASA)

Origen

Destino

Origen

Destino

IP   Local

NAT   de la IP real remota

IP   Local

IP   Real remota

172.23.191.15

172.31.254.1

172.23.191.15

10.1.2.1

Las líneas de código de la configuración del NAT son las siguientes

asa(config)# access-list nat-LS permit ip host 10.1.2.1 172.23.191.0 255.255.255.128

asa(config)# static (outside,inside) 172.31.254.1 access-list nat-LS

¿Algún comentario que pueda ayudarme al respecto de éste tema de implementación?

1 person had this problem
Labels:
0 Helpful
Who Me Too'd this topic