我试图设置我们的ASA 5510,允许IPsec(IKEv1)通过VPN访问内部networking。 关于我们的设置的难点在于外部接口没有分配给它的公共IP地址。
当前设置:路由器 – > ASA
在路由器和ASA之间是一个专用networking。 所有公共IP都从ASA分配给DMZ上的主机。
所以我首先尝试在ASA上build立一个免费的公共IP地址。 这是在外部接口上设置的子接口2和VLAN 1。 然后,我设置了VPN工作在新的界面,似乎没有工作。 所以我不确定在ASA没有任何公共IP的情况下使用ASAbuild立远程VPN访问的最佳方式。 任何想法都会非常有帮助。
您的拓扑是路由器 – > ASA,您需要ASA为VPN客户端连接一个有效的公共IP。
这需要一对一的NAT来给ASA一个有效的公共IP。
思科在如何在路由器上configurationNAT方面有一个相当不错的概要: http : //www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080093f31.shtml
如果您没有Cisco路由器,则需要获取有关在路由器上configuration静态NAT或一对一NAT的文档。 如果您不控制路由器,则需要向pipe理员请求一对一NAT。
IPsec,也许IKEv1,不能在NAT上运行得特别好。 即使采用1:1 NAT,数据包也会被破坏,签名将失败。 有些stream程(包括IKEv1和ASA)帮助这个工作,理论上解决了这个问题,但是与多个供应商产品一起工作的机会非常接近0。