Out客户有一个名为“SSL Explorer”的SSL VPN解决scheme,它是一个在DMZ主机上运行的基于服务器的应用程序。 由于该软件已宣布报废,我们希望迁移到ASA WebVPN。
目前有一个指向xx.xx.xx.68 / 29的DNSlogging“ssl.customer.ch” 。 我们不希望改变DNSlogging来尽可能降低迁移的停机时间。
ASA本身在外部接口上具有IP地址xx.xx.xx.66 / 29。
如果我要使用向导通过ASDM设置WebVPN,似乎访问WebVPN的IP地址不能改变,它总是您select的接口上的IP地址,在这种情况下,外部IP地址xx.xx .xx.66。
我的问题是如何通过IP地址xx.xx.xx.68 / 29访问WebVPN,这是一个与外部IP地址不同的IP地址?
这是我已经尝试过的:
1)在外部接口上创build第二个(子)接口,并将xx.xx.xx.68 / 29configuration为IP地址。 – >不起作用,因为子网重叠。 (也许它会工作,如果我会子网,子网再次,但比我会失去所需的IP地址,所以它不是一个选项)
我也尝试了一种应该将xxx68:443redirect到xxx66:443的NAT语句
static (outside,outside) tcp interface 443 xx.xx.xx.68 443 netmask 255.255.255.255 tcp 0 0 udp 0 access-list outside_access_in line 9 remark Erlaubt WebVPN auf xx.xx.xx.68 fuer redirect auf xx.xx.xx.66 (outside IP von ASA) access-list outside_access_in line 10 extended permit tcp host xx.xx.xx.68 host xx.xx.xx.66 eq https 但如果做一个包跟踪
packet-tracer input outside tcp 80.41.25.6 12345 217.192.168.68 443 xml
它是否暗示任何在外面的ACL结束阻止交通..
有任何想法吗?
我没有看到一种方法可以使用ASA在同一networking上使用2个IP:/
我看到的最好的解决scheme是把一个路由器放在ASA之后来做NAT或者减less很多ssl.customer.ch的TTL(以减less停机时间),然后改变它的IP