Tenho um recurso ao qual precisamos nos conectar em uma rede remota. Consigo me conectar à rede via VPN, mas não consigo me conectar ao dispositivo endpoint.
Descobri que o endpoint tem um endereço IP 192.168.15.10, máscara de rede 255.255.255.0, mas nenhum gateway padrão. Meu roteador (Cisco ASA 5505) está em 192.168.15.1.
Há algo que eu possa fazer com a Cisco que nos permita acessar 192.168.15.10 da VPN (192.168.16.0/24), mesmo que o gateway padrão esteja em branco? Este é um problema que precisamos enviar alguém ao site localmente para resolver?
Responder1
Possivelmente, desde que você possa configurar o roteador próximo ao seu dispositivo.
Basicamente, você precisahabilite (S)NAT no roteador– faça com que ele mascare suas conexões usando o endereço IP do próprio roteador, que está na mesma sub-rede do dispositivo.
Não sei como configurar um ASA para isso, nem se é possível, mas é assim que você faria no Linux iptables:
-t nat -A POSTROUTING -s 192.168.16.200 -d 192.168.15.10 -j MASQUERADE
O mesmo, mas com o endereço configurado manualmente:
-t nat -A POSTROUTING -s 192.168.16.200 -d 192.168.15.10 -j SNAT --to-source 192.168.15.1
Responder2
A resposta de @grawity abaixo me ajudou a começar. Veja como consegui me mascarar no Cisco ASA. Isso foi feito com ASA v9.2(3)
Na CLI:
object network VPN_HOST
host 192.168.16.200
object network INTERNAL_HOST
host 192.168.15.10
nat (any,inside) 1 source static VPN_HOST interface destination static INTERNAL_HOST INTERNAL_HOST
Em ASDM (v7.6(2)150):
