VPN con ASA 5505, prima nat o VPN ??

[fddi]

Ciao,
devo configurare un ASA 5505 con VPN IPSEC
lan-to-lan e fin qui tutto ok.
il problema pero' e' che i miei client che sono sulla sottorete privata 192.168.202.0/24 (interfaccia inside) devono essere mappati remotamente
sulla rete 10.178.61.224/27.
Cioe' remotamente vogliono vederli sulla sottorete 10.178.61.224/27

ora quello che non mi e' chiaro e' l'ACL che devo scrivere per fare il match dei client che devono entrare in VPN. Devo usare gli IP Della mia sottorete 192.168.202.0 255.255.255.0

oppure la sottorete gia' nattata

10.178.61.224 255.255.255.224

cioe', devo fare prima il nat e poi VPN ?

grazie mille

[Gianremo.Smisek]

ho avuto un problema simile e se non ricordo male ho dovuto fare prima NAT e poi VPN. Comunque al limite fai la prova, non costa niente

ciao!

P.S. per caso e' la VPN per una societa' che gestisce call center?

[fddi]

Poste Italiane vuole che la tua rete si proietti via VPN con un indirizzamente ben specifico...
d isempi simili pero' sui vari documenti dell'ASA non ce ne sono in giro...

[Gianremo.Smisek]

scrivi l'ACL in modo che faccia il NAT solo verso le destinazioni VPN. Richiami poi suddetta ACL nella regola di NAT... imho dovrebbe funzionare...


ciao

[fddi]

questo ok nel caso che tu sia sulla stessa rete di indirizzamento che richiedono loro.

ma se tu sei su una sottorete 192.168.1.0/24 e loro ti chiedono di vederti come
10.1.1.0/24 allora sono due le regole da applicare. La prima verso le destinazioni della VPN, dove trasformo la mia rete 192.168.1.0/24 in 10.1.1.0/24, ma poi ci vuole un'altra regola specifica per la ACL della VPN.
in questa regola devo usare 192.168.1.0/24 oppure 10.1.1.0/24 come source network nella ACL ?

[Gianremo.Smisek]

come gia' ti ho detto, non ricordo se IOS fa prima NAT o prima VPN (mi pare che natta prima di sparare in VPN). fai la prova con l'uno o l'altro indirizzamento e vedi. provare non costa nulla

(puoi fare i test anche con gns3)

ciao!