在与外部IP不同的IP地址上安装Cisco ASAs

Question

Out customer有一个名为“server”的SSL解决方案，它是一个运行在DMZ主机上的基于服务器的应用程序。由于软件已被宣布为寿命的终结，我们希望迁移到ASA WebVPN.

目前有一个DNS记录"ssl.customer.ch“指向xx.68/29。我们不希望更改DNS记录以尽可能地保持迁移的停机时间。

ASA本身在外部接口上有IP地址xx.66/29。

如果我要使用向导通过ASDM设置WebVPN，那么访问WebVPN的IP地址似乎不能更改，它始终是您选择的接口上的IP地址，在这种情况下，它是外部IP地址xx.66。

我的问题是如何通过IP地址xx.68/29访问WebVPN，这是一个不同于外部IP地址的IP地址？

以下是我已经尝试过的：

1)在外部接口上创建第二个(子)接口，并将xx.68/29配置为IP地址。->不工作，因为子网重叠。(如果我再次使用子网，它可能会工作，但比我失去所需的ip地址更好，所以它不是一种选择)

我还尝试了一种NAT语句，它应该将x.68:443重定向到x.66:443。

  static (outside,outside)  tcp interface 443 xx.xx.xx.68 443 netmask 255.255.255.255 tcp 0 0 udp 0


  access-list outside_access_in line 9 remark Erlaubt WebVPN auf xx.xx.xx.68 fuer redirect auf xx.xx.xx.66 (outside IP von ASA)
  access-list outside_access_in line 10 extended permit tcp host xx.xx.xx.68 host xx.xx.xx.66 eq https 

但是如果包跟踪

  packet-tracer input outside tcp 80.41.25.6 12345 217.192.168.68 443 xml

它指出，隐式拒绝任何在外部ACL结束时阻塞流量的任何内容。

有什么想法吗？

Answer 1

我看不出有什么方法可以让这两个IP在同一个网络上使用ASA :/

我看到的最好的解决方案是在ASA后面放置一个路由器来完成NAT或减少大量的ssl.customer.ch TTL (以减少停机时间)，然后更改其IP。