cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
Announcements

Community Helping Community

419
Views
0
Helpful
1
Replies
Beginner

NAT de destino en versión 8.2(5) Firewall ASA 5510

Tengo un firewall ASA 5510 con la versión 8.2(5) del IOS, el cual utilizo como concentrador de VPNs. Actualmente tengo configurados varios túneles VPN hacia localidades remotas, sin embargo necesito configurar nuevos túneles y el inconveniente que ha surgido es que los nuevos sitios remotos tienen el direccionamiento que ya está siendo utilizado por otro sitio que ya tiene una VPN tipo site to site activa en el firewall ASA.

La solución es implementar un NAT, sin embargo en muchos de los casos no es posible realizar modificaciones en el equipo remoto con el cual se establecerá el nuevo túnel VPN S2S, por lo que es necesario que el NAT de las direcciones y segmentos remotos se haga del lado del firewall ASA únicamente. He implementado un concepto de "NAT de destino" que encontré en algunos foros, sin embargo no he tenido buenos resultados para que el túnel VPN hacia los sitios que tienen éste problema de direccionamiento pueda levantar.

La siguiente tabla muestra un esquema del requerimiento de implementación para el NAT y para la configuración del túnel VPN:

1. Considerar que ya existe un túnel VPN en el cual se tiene definido toda la red 10.0.0.0/8 y es necesario agregar un nuevo túnel VPN para un nuevo sitio remoto que tiene como direccionamiento al segmento 10.1.2.0/27

Requerimiento original de comunicación:

Origen:172.23.191.0/25  (red local)

Destino: 10.1.2.0/27 (red remota)

Nota: Para el caso anterior estoy proponiendo traducir el segmento real remoto (10.1.2.0/27) con el segmento 172.31.254.0/27

Dentro de los parámetros del túnel VPN la red local corresponde a la 172.23.191.0/25 y la red remota será el segmento NAT (172.31.254.0/27) y para propociar la generación de tráfico únicamente consideraré el NAT de un host del segmento remoto.

Implementación del NAT de destino con un sólo host como prueba

Paquete   Original (entrante en la interface inside del ASA)

Paquete   traducido (en la forma que sale en la interface outside del ASA)

Origen

Destino

Origen

Destino

IP   Local

NAT   de la IP real remota

IP   Local

IP   Real remota

172.23.191.15

172.31.254.1

172.23.191.15

10.1.2.1

Las líneas de código de la configuración del NAT son las siguientes

asa(config)# access-list nat-LS permit ip host 10.1.2.1 172.23.191.0 255.255.255.128

asa(config)# static (outside,inside) 172.31.254.1 access-list nat-LS

¿Algún comentario que pueda ayudarme al respecto de éste tema de implementación?

1 REPLY 1
Highlighted
Beginner

NAT de destino en versión 8.2(5) Firewall ASA 5510

Hola Adrian. Yo estoy con una situación muy similar a la tuya. La diferencia es que en vez de ser una VPN en el extremo de fuera es una punto a punto.

Misma situación, tengo unas cuantas redes dentro de la red 10.0.0.0/8 que me coinciden con otras iguales de otro cliente. Por lo que quiero natear el destino para cambiar por ejmeplo todo lo que vaya a la red 10.115.1.0/24 por la 10.215.1.0/24.

Por ahora no lo he conseguido realizar, hice igual que tu, configurar la ACL para permitir el tráfico y posteriormente el NAT haciendo referencia a la ACL pero sin resultado.

¿Conseguiste avanzar sobre este tema?

Muchas gracias de antemano

CreatePlease to create content
Content for Community-Ad
FusionCharts will render here