位于IPSEC隧道上的ASA后面的单个主机的出站NAT

Question

我在公共互联网上用ASA 5510连接了这两个网络。

192.168.0.0 < -- ASA1 ->因特网<- ASA2 --> 192.168.5.0

每个网络通过本地ASA为出站访问执行简单的动态或静态nat。容易偷看的东西。

IPSEC隧道非常简单。ACL允许在两者之间的所有流量。Net到Net NONAT规则。

我想要做的是将单个主机(192.168.0.231)通过ASA2广域网网关重定向它的公共传出流量，而不是通常的ASA1。

我相信这是可能的，但很难搞清楚。我读过一些解决方案，其中有些需要通过创建NAT的虚拟接口来实现？有人能帮忙吗？谢谢。

Answer 1

您应该能够使用基于策略的路由(PBR)从您的单个内部主机获得流量，以便使用隧道作为其下一跳，而不是进入ASA的默认路由。到那时，您可能需要调整ASA2上的一些策略，以允许和NAT将流量输出到internet，但这应该类似于设置任何其他VPN到Internet的遍历。