come VPN server uso l'ASA (ip statico pubblico); e credo di aver messo la config giusta tranne un comando.. quello di non far nattare la LAN verso la LAN remota. Posto un pezzo della config :
interface Vlan1
description LAN - porte 1,2,3
nameif inside
security-level 100
ip address 192.168.1.254 255.255.255.0
!
interface Vlan2
description Interfaccia Wan - Porta 0
nameif outside
security-level 0
ip address 213.82.175.40 255.255.255.224
!
interface Vlan3
description Management - porte 4,5,6,7
nameif Management
security-level 100
ip address 192.168.70.254 255.255.255.0
[CUT...]
access-list inside_to_management extended permit ip 192.168.1.0 255.255.255.0 192.168.70.0 255.255.255.0
access-list management_to_inside extended permit ip 192.168.70.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list inside_to_VPN extended permit ip 192.168.1.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list ezvpn extended permit ip 192.168.1.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list Split_Tunnel_List remark Da Inside a VPN
access-list Split_Tunnel_List standard permit 192.168.1.0 255.255.255.0
[CUT]
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_to_management
nat (inside) 1 192.168.1.0 255.255.255.0
nat (Management) 0 access-list management_to_inside
La grande domanda è: io ho 2 reti sulle porte dell'ASA, e si può definire una sola regola di nat (inside) 0 quindi se io la uso già per il routing fra Vlan1 e Vlan3, come faccio a fare un'altra regola di nat (inside) 0 per il traffico dalla Vlan1 alla LAN dell'endpoint VPN ???
mi aspettavo di poter scrivere anche
nat (inside) 0 access-list inside_to_VPN
e invece non si può fare.
grazie a tutti quelli che daranno un consiglio
Mauro
