Zum Inhalt wechseln


Foto

ASA (8.2.3) Site-2-Site-VPN mit NAT


  • Bitte melde dich an um zu Antworten
3 Antworten in diesem Thema

#1 hegl

hegl

    Board Veteran

  • 704 Beiträge

 

Geschrieben 07. November 2014 - 08:55

Für ein Site-2-Site VPN hat mir der Partner eine IP-Range (24-er Subnet) genannt, worauf unsere Adressen genattet werden müssen. In einer Testumgebung funktioniert das auch solange, wie ich bei uns auch nur mit einem Class-C-Netz arbeite. Von meiner 10-er Netz muss ich Ressourcen im 172-er erreichen. Der Partner gibt mir als erlaubte IP-Adressen das 192-er vor - soweit funktioniert das auch.

 

access-list A2B extended permit ip 10.10.10.0 255.255.255.0 172.16.10.0 255.255.255.0
access-list VPN-NAT extended permit ip 192.168.10.0 255.255.255.20 172.16.10.0 255.255.255.0
static (inside,outside) 192.168.10.0 access-list A2B

...
crypto map mymap match address VPN-NAT

...

In der Praxis habe ich aber in unserem LAN mehrere Class-C Netze die ich auf das vom Partner vorgegebene eine Class-C Netz natten muss.

Konfiguriere ich dann :

object-group network Internes-LAN
network-object 10.10.10.0 255.255.255.0

network-object 10.10.11.0 255.255.255.0

network-object 10.10.12.0 255.255.255.0
access-list A2B extended permit ip object-group Internes-LAN 172.16.10.0 255.255.255.0

access-list VPN-NAT extended permit ip 192.168.10.0 255.255.255.20 172.16.10.0 255.255.255.0

static (inside,outside) 192.168.10.0 access-list A2B

erhalte ich nach Eingabe des static-command
ERROR: access-list used in static has different local addresses

Wie komme ich hier raus?

 

 

 

 

 



#2 blackbox

blackbox

    Board Veteran

  • 1.078 Beiträge

 

Geschrieben 09. November 2014 - 20:09

Problem noch vorhanden?


Done: CCNP ; CCDP ; CCNA Video - Voice - Security - Wireless ; HP Master ASE Network 2011 ; ASE Blade V8 ; ASE Proliant V8;


#3 hegl

hegl

    Board Veteran

  • 704 Beiträge

 

Geschrieben 10. November 2014 - 06:38

Jepp, noch keine Lösung in Sicht :confused:



#4 hegl

hegl

    Board Veteran

  • 704 Beiträge

 

Geschrieben 12. Dezember 2014 - 11:18

Als Rückmeldung: Bei einer "Static Policy Nat Rule" kann ich als source keine network-group mit meheren Netzen anziehen - das bietet mir der ASDM auch erst gar nicht an (warum sollte es dann per CLI gehen?). Also habe ich für jedes interne Netz die ACL für das static-command einzeln angelegt:

access-list A2B extended permit ip 10.10.10.0 255.255.255.0 172.16.10.0 255.255.255.0
access-list A2B extended permit ip 10.10.11.0 255.255.255.0 172.16.10.0 255.255.255.0
access-list A2B extended permit ip 10.10.12.0 255.255.255.0 172.16.10.0 255.255.255.0

und nicht

object-group network Internes-LAN
network-object 10.10.10.0 255.255.255.0
network-object 10.10.11.0 255.255.255.0
network-object 10.10.12.0 255.255.255.0

access-list A2B extended permit ip object-group Internes-LAN 172.16.10.0 255.255.255.0

Dann funktioniert auch

static (inside,outside) 192.168.10.0 access-list A2B