VPNs Site to Site entre Firewalls Cisco (NAT)
Publicado por Ricardo e arquivado em Segurança, tags: asa, cisco, firewall, nat, vpnGalera agora vou exemplificar como criar uma VPN Site-to-Site entre 2 empresas, porém utilizando NAT dentro do túnel VPN.
Topologia:
Leia o artigo (VPNs Site to Site entre Firewalls Cisco) para visualizar e entender o básico de uma configuração VPN, neste complemento você terá empresa 1 que possui um servidor com endereço IP: 192.168.1.10 e estará fazendo um NAT para um endereço IP:10.1.1.1 que será especificado (tráfego interessante) para a empresa 2, e a empresa 2 irá fazer o mesmo utilizará um IP NAT: 10.2.2.2 do seu servidor IP: 172.16.1.10 ( A configuração da empresa 2 e muito simples e
ficará a cargo do seu entendimento da solução).
[ Configuração Empresa 1 ]
! Definindo Nomes dos hosts/redes
Mantem Configuração do Artigo Anterior.Link
! Criando os inside_hosts
Mantem Configuração do Artigo Anterior.Link
[ Exemplo 1]
! ACLs para trafego cryptografado
access-list cryptomap_emp2 extended permit ip object-group vpn_inside_hosts host inside_empresa2
! ACL para o NAT (Police Nat)
access-list acl_nat_emp2 extended permit ip object-group vpn_inside_hosts host inside_empresa2
! Criando o NAT
static (inside,outside) 10.2.2.2 access-list acl_nat_emp2
[ Exemplo 2]
! ACLs para trafego cryptografado
access-list cryptomap_emp2 extended permit ip object-group vpn_inside_hosts host inside_empresa2
! ACL para o NAT (Police Nat)
access-list acl_nat_out_emp2 extended permit ip object-group vpn_inside_hosts host inside_empresa2
! Criando o NAT
nat (inside) 1 access-list acl_nat_out_emp2v
global (outside) 1 10.2.2.2
! Protocolos Fase 2 / Lifetime em modo global
Mantem Configuração do Artigo Anterior.Link
! Configurando Peer
Mantem Configuração do Artigo Anterior.Link
(Se atentar ao nome da ACL)
! Habilitando crypto map na outside, criar apenas uma crypto map para outside.
Mantem Configuração do Artigo Anterior.Link
! Habilitando Isakmp na Outside
Mantem Configuração do Artigo Anterior.Link
! Configuração Policy 10 Rede Empresa 2
Mantem Configuração do Artigo Anterior.Link
! Definindo Tunnel / Attributos do Tunnel / E o Tunnel Não deve ser nome e SIM o IP do Peer da rede Empresa 2.
Mantem Configuração do Artigo Anterior.Link
[ Troubleshooting ]
Podemos utilizar os mesmos comandos do artigo anterior,
apenas lembrando que iremos executar os testes nos IPs NAT.
[ Conclusão ]
O porque do uso de NAT? Quais benefícios do NAT para esta solução?
Pessoal desta forma não precisamos informar o IP real de nossos servidores aos nossos parceiros e também podemos evitar overlapping entre as empresas fazendo com que cada uma das empresas estenda a sua rede IP para o parceiro de forma a não causar nenhum impacto.