Buy or Renew
Buy or Renew
Duo Security forums now LIVE! Get answers to all your Duo Security questions. Learn more
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
cancel
Start a conversation
598
Views
0
Helpful
1
Replies

NAT de destino en versión 8.2(5) Firewall ASA 5510

aortega3107
Level 1
Level 1

‎06-04-2013 08:42 AM

Tengo un firewall ASA 5510 con la versión 8.2(5) del IOS, el cual utilizo como concentrador de VPNs. Actualmente tengo configurados varios túneles VPN hacia localidades remotas, sin embargo necesito configurar nuevos túneles y el inconveniente que ha surgido es que los nuevos sitios remotos tienen el direccionamiento que ya está siendo utilizado por otro sitio que ya tiene una VPN tipo site to site activa en el firewall ASA.

La solución es implementar un NAT, sin embargo en muchos de los casos no es posible realizar modificaciones en el equipo remoto con el cual se establecerá el nuevo túnel VPN S2S, por lo que es necesario que el NAT de las direcciones y segmentos remotos se haga del lado del firewall ASA únicamente. He implementado un concepto de "NAT de destino" que encontré en algunos foros, sin embargo no he tenido buenos resultados para que el túnel VPN hacia los sitios que tienen éste problema de direccionamiento pueda levantar.

La siguiente tabla muestra un esquema del requerimiento de implementación para el NAT y para la configuración del túnel VPN:

1. Considerar que ya existe un túnel VPN en el cual se tiene definido toda la red 10.0.0.0/8 y es necesario agregar un nuevo túnel VPN para un nuevo sitio remoto que tiene como direccionamiento al segmento 10.1.2.0/27

Requerimiento original de comunicación:

Origen:172.23.191.0/25  (red local)

Destino: 10.1.2.0/27 (red remota)

Nota: Para el caso anterior estoy proponiendo traducir el segmento real remoto (10.1.2.0/27) con el segmento 172.31.254.0/27

Dentro de los parámetros del túnel VPN la red local corresponde a la 172.23.191.0/25 y la red remota será el segmento NAT (172.31.254.0/27) y para propociar la generación de tráfico únicamente consideraré el NAT de un host del segmento remoto.

Implementación del NAT de destino con un sólo host como prueba

Paquete   Original (entrante en la interface inside del ASA)

Paquete   traducido (en la forma que sale en la interface outside del ASA)

Origen

Destino

Origen

Destino

IP   Local

NAT   de la IP real remota

IP   Local

IP   Real remota

172.23.191.15

172.31.254.1

172.23.191.15

10.1.2.1

Las líneas de código de la configuración del NAT son las siguientes

asa(config)# access-list nat-LS permit ip host 10.1.2.1 172.23.191.0 255.255.255.128

asa(config)# static (outside,inside) 172.31.254.1 access-list nat-LS

¿Algún comentario que pueda ayudarme al respecto de éste tema de implementación?

1 person had this problem
Labels:
0 Helpful
1 Reply 1

villalva.n
Level 1
Level 1

‎08-20-2013 05:12 AM

Hola Adrian. Yo estoy con una situación muy similar a la tuya. La diferencia es que en vez de ser una VPN en el extremo de fuera es una punto a punto.

Misma situación, tengo unas cuantas redes dentro de la red 10.0.0.0/8 que me coinciden con otras iguales de otro cliente. Por lo que quiero natear el destino para cambiar por ejmeplo todo lo que vaya a la red 10.115.1.0/24 por la 10.215.1.0/24.

Por ahora no lo he conseguido realizar, hice igual que tu, configurar la ACL para permitir el tráfico y posteriormente el NAT haciendo referencia a la ACL pero sin resultado.

¿Conseguiste avanzar sobre este tema?

Muchas gracias de antemano

0 Helpful
Getting Started

Find answers to your questions by entering keywords or phrases in the Search bar above. New here? Use these resources to familiarize yourself with the community:

Customers Also Viewed These Support Documents