我有一个像这样的IPsec VPN设置:
[Remote users]-[Remote ASA] <-VPN-> [My ASA]-[Subnet A]-[Router 2]-[Subnet B] VPN被设置为处理[远程用户]和[子网A]之间的stream量。 它不包括[子网B]。 假设所有路由器的防火墙规则都是允许的。
现在我想将通过VPN传输的stream量redirect到[subnet A](192.168.1.102)上的特定IP到[Subnet B](10.1.1.133)上的IP
如果我将[My ASA]上的规则添加到原始IP 192.168.1.102到新IP 10.1.1.133的NATstream量,
1)这会影响通过VPN进入的连接吗? (即:VPN数据包未encryption,然后应用NAT)2)当NAT后的目标位于Subnet-B上时,这是否工作?Subnet-B不属于VPNstream量select的一部分?
这两个陈述并不是微不足道的。“VPN设置为处理[远程用户]和[子网A]之间的通信,它不包括[子网B]。” 和“假装所有路由器的防火墙规则都是允许的一切”。
但是,我假定您的意思是说远程ASA被configuration为仅将VPN用于特定的子网 – 例如,子网A.我不明白的部分是为什么要在您的ASA内部接口上进行NAT到子网B上的主机。你为什么不让路由器2执行NAT?
就交通路线而言,我无法回答这个事实。 但是,我可以说传统意义上的NAT导致了两个路由决策。 首先将数据包标识为属于已翻译的TCP连接 – 这将使用未翻译的IP地址,并对翻译后的数据包做出以下决定。
基本上,你的意思是“这会影响通过VPN进入的连接吗?” 您是否希望远程连接VPN的用户通过NAT转换访问子网B上的主机?
假设您的目标是让VPN用户可以使用子网B上的主机,而不会将子网B的其余部分暴露给他们,那么您的推理是合理的; 由于在cisco pix / asa平台上缺lessexpierence,我不能保证没有任何问题或挂断。 例如,使用linux iptables可以很容易地实现这一点。
但是,如果您只是想让Subnet-B上的主机可通过VPN获得给用户,那么考虑在路由器2上执行NAT并/或将Subnet-B添加到VPN,并在ASA上使用防火墙规则或路由器2限制stream量。
对不起,这不是一个完美的答案,但如果你能清楚的细节,我可能会有更好的消息给你。