Возникла не тривиальная задача, используя один реальный ip адрес необходимо настроить два устройства с доступом в сеть вроде как ничего сложного, но одно из устройств cisco asa а второе cisco router, и на cisco router необходимо агрегировать site-to-site vpn что cisco asa делает специфически, а перенастраивать вторую сторону vpn тоже на cisco router нельзя.
Вспомнили сразу за dmz, а нет нельзя на один ip повесить dmz, почитав документацию и покурив, мануал пришла мысль что cisco asa умеет делать nat какой только возможен и получили следующее.
Создали 3 vlan
interface Vlan1 nameif outside security-level 0 ip address xxx.xxx.xxx.4 255.255.255.0 interface Vlan2 nameif inside security-level 100 ip address yyy.yyy.yyy.1 255.255.255.0 interface Vlan3 nameif DMZ security-level 50 ip address zzz.zzz.zzz.1 255.255.255.0
присвоили интерфейсам и теперь собственно сам nat
создаем object-ы
object network inside-networks subnet yyy.yyy.yyy.0 255.255.255.0 description inside networks object network dmz-router host zzz.zzz.zzz.4 description cisco object network dmz-network subnet zzz.zzz.zzz.0 255.255.255.0 description dmz-network object network dmz-router-servises host zzz.zzz.zzz.4 description cisco-servises
и из каждого object-а, создаем свой нат
object network inside-networks nat (inside,outside) dynamic interface object network dmz-network nat (DMZ,outside) dynamic interface object network dmz-router-servises nat (DMZ,outside) static interface
Получаем вывод
WARNING: All traffic destined to the IP address of the outside interface is being redirected. WARNING: Users may not be able to access any service enabled on the outside interface.
И все заработало, трафик на реальный ip приходил на cisco router vpn поднялся красота.
Для справки из консоли легко запутаться и использовать вместо Network Object NAT. NAT Before Network Object, проще делать настройки nat из asdm используя предварительно настроенные Network Object тогда не ошибешься, так же если не нужно принимать все порты то за пример берите http://www.anticisco.ru/forum/viewtopic.php?f=2&t=5389&sid=1a17678150464e4e971080d3b3150266&start=25 тут с не стандартным портом и Network Object NAT.
Подводные камни nat надо делать из object network
А acl из другого object network здесь разрешаем порты на outside и помним что все порты в dmz закрыты на aca.
Хотя внутри ip одинаковые аса отказалась работать, как только сделали отдельные имена для nat и асl сразу взлетело. Может баг.
Тестировалось все на
asa # sh ver Cisco Adaptive Security Appliance Software Version 8.4(7) Device Manager Version 7.3(1)101