Jump to content

ASA (8.2.3) Site-2-Site-VPN mit NAT

hegl

Von hegl
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hegl

hegl   10

Geschrieben
Geschrieben

Für ein Site-2-Site VPN hat mir der Partner eine IP-Range (24-er Subnet) genannt, worauf unsere Adressen genattet werden müssen. In einer Testumgebung funktioniert das auch solange, wie ich bei uns auch nur mit einem Class-C-Netz arbeite. Von meiner 10-er Netz muss ich Ressourcen im 172-er erreichen. Der Partner gibt mir als erlaubte IP-Adressen das 192-er vor - soweit funktioniert das auch.

 

access-list A2B extended permit ip 10.10.10.0 255.255.255.0 172.16.10.0 255.255.255.0
access-list VPN-NAT extended permit ip 192.168.10.0 255.255.255.20 172.16.10.0 255.255.255.0
static (inside,outside) 192.168.10.0 access-list A2B

...
crypto map mymap match address VPN-NAT
...

In der Praxis habe ich aber in unserem LAN mehrere Class-C Netze die ich auf das vom Partner vorgegebene eine Class-C Netz natten muss.

Konfiguriere ich dann :

object-group network Internes-LAN
network-object 10.10.10.0 255.255.255.0

network-object 10.10.11.0 255.255.255.0

network-object 10.10.12.0 255.255.255.0
access-list A2B extended permit ip object-group Internes-LAN 172.16.10.0 255.255.255.0

access-list VPN-NAT extended permit ip 192.168.10.0 255.255.255.20 172.16.10.0 255.255.255.0

static (inside,outside) 192.168.10.0 access-list A2B

erhalte ich nach Eingabe des static-command
ERROR: access-list used in static has different local addresses

Wie komme ich hier raus?

 

 

 

 

 

Link zu diesem Kommentar
  • 1 Monat später...
hegl

hegl   10

Geschrieben
  • Autor
Geschrieben

Als Rückmeldung: Bei einer "Static Policy Nat Rule" kann ich als source keine network-group mit meheren Netzen anziehen - das bietet mir der ASDM auch erst gar nicht an (warum sollte es dann per CLI gehen?). Also habe ich für jedes interne Netz die ACL für das static-command einzeln angelegt:

 

access-list A2B extended permit ip 10.10.10.0 255.255.255.0 172.16.10.0 255.255.255.0

access-list A2B extended permit ip 10.10.11.0 255.255.255.0 172.16.10.0 255.255.255.0

access-list A2B extended permit ip 10.10.12.0 255.255.255.0 172.16.10.0 255.255.255.0

 

und nicht

 

object-group network Internes-LAN

network-object 10.10.10.0 255.255.255.0

network-object 10.10.11.0 255.255.255.0

network-object 10.10.12.0 255.255.255.0

 

access-list A2B extended permit ip object-group Internes-LAN 172.16.10.0 255.255.255.0

 

Dann funktioniert auch

 

static (inside,outside) 192.168.10.0 access-list A2B

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...