Nat

один реальный ip, asa, nat, dmz, vpn s-t-s

Возникла не тривиальная задача, используя один реальный ip адрес необходимо настроить два устройства с доступом в сеть вроде как ничего сложного, но одно из устройств cisco asa а второе cisco router, и на cisco router необходимо агрегировать site-to-site vpn что cisco asa делает специфически, а перенастраивать вторую сторону vpn тоже на cisco router нельзя.

Пример простых настроек PacketFilter из OpenBSD 5.4 для организации NAT

# Network interfaces ext_if="bge1" int_if="bge0" ######################################################## # Options set skip on lo0 #skip checks on the loop ### Т.к. на интерфейсе висит несколько сетей и не всех необходимо выпускать в сеть, разрешаем только определенным.

CIsco ASA 55xx, IOS 9.13 , Site-to-Site VPN и замечательные правила NAT

Жила себе ASA 5510, на которой крутились Site-to-Site VPN и офис. Между VPN и офисом была настроена маршрутизация. Крутилось все это под прошивкой из 8ой серии.

И решились мы ее перепрошить на 9.13. Перепрошивка прошла успешно, кроме одного нюанса — перестали ходить пинги между Site-to-Site VPN и офисом.