从天蓝到内部的VPN

Question

我的公司已经创建了一个网络拓扑，我们有两个防火墙。外部的是DrayTek，内部的是Cisco。我们还有一个dmz连接到ASA。

DrayTek公共IP地址不是私有地址。内部是私人的192.168.0.1。ASA外部IP为192.168.0.2，内部IP为192.168.1.1。

我是VPN的新手，所以VPN可以直接连接到ASA，也可以连接到外部防火墙(DrayTek)。

Answer 1

据我所知，在您的拓扑结构中，您有两个防火墙。一个是Cisco，另一个是DrayTek防火墙设备。另外，ASA的外部接口IP地址为192.168.0.2 (私有IP)，DrayTek外围防火墙的外部接口IP地址为公共IP地址。

因此，DrayTek设备是一种设备，因为它有一个公共IP地址，使您能够连接到互联网。虚拟专用网应建立在DrayTek设备上。

如果要建立SSL或远程VPN，则可以通过配置虚拟IP池在防火墙中配置相同的VPN。否则，如果要将其作为站点站点或L2L VPN连接，您将需要来自相邻对等方的IKE/ISAKMP参数，以及连接协商和数据传输。我建议查阅DrayTek设备指南和配置手册。

Answer 2

如果您通过公共网络(Internet)连接到Azure，那么在ASA上为VPN隧道到Azure添加一个面向公共端口。你可以对ASA做一些静态的NAT恶作剧，但这是很糟糕的工程，因为它违反了接吻原则。