06-04-2013 08:42 AM
Tengo un firewall ASA 5510 con la versión 8.2(5) del IOS, el cual utilizo como concentrador de VPNs. Actualmente tengo configurados varios túneles VPN hacia localidades remotas, sin embargo necesito configurar nuevos túneles y el inconveniente que ha surgido es que los nuevos sitios remotos tienen el direccionamiento que ya está siendo utilizado por otro sitio que ya tiene una VPN tipo site to site activa en el firewall ASA.
La solución es implementar un NAT, sin embargo en muchos de los casos no es posible realizar modificaciones en el equipo remoto con el cual se establecerá el nuevo túnel VPN S2S, por lo que es necesario que el NAT de las direcciones y segmentos remotos se haga del lado del firewall ASA únicamente. He implementado un concepto de "NAT de destino" que encontré en algunos foros, sin embargo no he tenido buenos resultados para que el túnel VPN hacia los sitios que tienen éste problema de direccionamiento pueda levantar.
La siguiente tabla muestra un esquema del requerimiento de implementación para el NAT y para la configuración del túnel VPN:
1. Considerar que ya existe un túnel VPN en el cual se tiene definido toda la red 10.0.0.0/8 y es necesario agregar un nuevo túnel VPN para un nuevo sitio remoto que tiene como direccionamiento al segmento 10.1.2.0/27
Requerimiento original de comunicación:
Origen:172.23.191.0/25 (red local)
Destino: 10.1.2.0/27 (red remota)
Nota: Para el caso anterior estoy proponiendo traducir el segmento real remoto (10.1.2.0/27) con el segmento 172.31.254.0/27
Dentro de los parámetros del túnel VPN la red local corresponde a la 172.23.191.0/25 y la red remota será el segmento NAT (172.31.254.0/27) y para propociar la generación de tráfico únicamente consideraré el NAT de un host del segmento remoto.
Implementación del NAT de destino con un sólo host como prueba
Paquete Original (entrante en la interface inside del ASA) | Paquete traducido (en la forma que sale en la interface outside del ASA) | ||
Origen | Destino | Origen | Destino |
IP Local | NAT de la IP real remota | IP Local | IP Real remota |
172.23.191.15 | 172.31.254.1 | 172.23.191.15 | 10.1.2.1 |
Las líneas de código de la configuración del NAT son las siguientes
asa(config)# access-list nat-LS permit ip host 10.1.2.1 172.23.191.0 255.255.255.128
asa(config)# static (outside,inside) 172.31.254.1 access-list nat-LS
¿Algún comentario que pueda ayudarme al respecto de éste tema de implementación?
08-20-2013 05:12 AM
Hola Adrian. Yo estoy con una situación muy similar a la tuya. La diferencia es que en vez de ser una VPN en el extremo de fuera es una punto a punto.
Misma situación, tengo unas cuantas redes dentro de la red 10.0.0.0/8 que me coinciden con otras iguales de otro cliente. Por lo que quiero natear el destino para cambiar por ejmeplo todo lo que vaya a la red 10.115.1.0/24 por la 10.215.1.0/24.
Por ahora no lo he conseguido realizar, hice igual que tu, configurar la ACL para permitir el tráfico y posteriormente el NAT haciendo referencia a la ACL pero sin resultado.
¿Conseguiste avanzar sobre este tema?
Muchas gracias de antemano
Discover and save your favorite ideas. Come back to expert answers, step-by-step guides, recent topics, and more.
New here? Get started with these tips. How to use Community New member guide