La respuesta a eso depende de la versión del software ASA que esté ejecutando. Específicamente entre 8.2 y anterior en comparación con 8.3 y posterior. Cisco reformuló porciones significativas de NAT.
Cisco lanzó un video realmente bueno en YouTube:
Ahora, he notado algunos problemas con VPN NAT en 8.3 y 8.4. Especialmente cuando se trata de permitir el acceso de administración al ASA mismo (SSH / HTTPS) desde detrás de los clientes VPN.
- ¿Alguien fue hackeado como resultado del error Heartbleed?
- ¿Es sensato usar Tencent como antivirus gratuito?
- ¿Cómo funciona un profesional de ciberseguridad?
- ¿Qué es un virus de computadora?
- Cómo deshacerse de un virus
Por ejemplo, como práctica de seguridad, empleo VLAN de administración. Para mayor seguridad, no todos los dispositivos en las VLAN de administración tienen un conjunto de rutas predeterminado. Entonces, cuando mi grupo VPN de administración está en la misma subred que la VLAN de administración, termino teniendo que eliminar la dirección de administración de Twice-NAT de la manera difícil, especificando todas las demás direcciones en la subred, como:
red de grupo de objetos grp-mgmtclients
host de objeto de red 192.168.0.2
host de objeto de red 192.168.0.3
objeto de red 192.168.0.4 255.255.255.252
objeto de red 192.168.0.8 255.255.255.248
objeto de red 192.168.0.16 255.255.255.240
objeto de red 192.168.0.32 255.255.255.224
objeto de red 192.168.0.64 255.255.255.192
objeto de red 192.168.0.128 255.255.255.128
fuente nat (gestión, exterior) estática grp-mgmtclients grp-mgmtclients destino estática grp-mgmtclients grp-mgmtclients
Por lo tanto, puedo comunicarme con los otros dispositivos y SSH para la administración de ASA en 192.168.0.1 a través de la VPN.
Su millaje puede variar, pero recuerde que las preguntas específicas son más fáciles de responder y puede encontrar una amplia documentación buscando en Cisco.com. Tienen escenarios de configuración para casi todo lo que la plataforma puede hacer.