我有一個需要連接到遠端網路的資源。我可以透過 VPN 連接到網絡,但無法連接到端點設備。
我發現端點的 IP 位址為 192.168.15.10,網路遮罩為 255.255.255.0,但沒有預設閘道。我的路由器 (Cisco ASA 5505) 位於 192.168.15.1。
我可以對 Cisco 做些什麼,讓我們從 VPN (192.168.16.0/24) 存取 192.168.15.10,即使預設閘道為空?這是我們需要派人到本地現場解決的問題嗎?
答案1
有可能,只要您可以在設備旁邊設定路由器即可。
基本上,你需要在路由器上啟用 (S)NAT– 讓它使用路由器自己的 IP 位址來偽裝您的連接,該位址與裝置位於同一子網路中。
我不知道如何為此配置 ASA,也不知道它是否可能,但這就是您在 Linux iptables 中執行此操作的方法:
-t nat -A POSTROUTING -s 192.168.16.200 -d 192.168.15.10 -j MASQUERADE
相同,但手動配置位址:
-t nat -A POSTROUTING -s 192.168.16.200 -d 192.168.15.10 -j SNAT --to-source 192.168.15.1
答案2
@grawity 下面的回答幫助我開始了。以下是我如何完成 Cisco ASA 偽裝。這是使用 ASA v9.2(3) 完成的
在 CLI 中:
object network VPN_HOST
host 192.168.16.200
object network INTERNAL_HOST
host 192.168.15.10
nat (any,inside) 1 source static VPN_HOST interface destination static INTERNAL_HOST INTERNAL_HOST
在 ASDM (v7.6(2)150) 中:
