Vpn

從路由器到 SSL-VPN 設備的 IP NAT

  • November 4, 2015

有沒有人使用 Cisco 891-K9 將 443/SSL 轉發到 SSL VPN 設備?

(我以前從未遇到過這種情況,因為面向公眾的路由器直接終止了 VPN,或者我們有多個公共 IP 來直接為 VPN 設備分配一個公共 IP)。

使用“ip nat inside source static tcp 44.55.66.255 443 10.10.10.150 443 可擴展”它應該將 SSL 請求轉發到 10.10.10.150 的 SSL VPN 設備,以便在那裡終止 VPN 請求。

但慘遭失敗,因為 891-K9 為 10.10.10.150 創建了一個虛擬 ARP 條目。所以兩個MAC具有相同的IP。

所以有 443 個請求被發送到它的介面。根據 NAT 語句,我無法通過 ssh 進入 SSL-VPN 設備,但是當狀態消失時,我可以 ssh 並且 ARP 重複警告消失。

*Nov 1 19:22:46.871: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc
*Nov 1 19:23:18.083: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc
*Nov 1 19:23:48.295: %IP-4-DUPADDR: Duplicate address 10.10.10.150 on Vlan10, sourced by aaaa.bbbb.cccc
rtr#sh clock
*19:24:26.487 UTC Sun Nov 1 2015
rtr#sh ip arp 10.10.10.150
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.10.10.150 - e02f.6d96.8dd0 ARPA Vlan10
rtr#sh ip arp 10.10.10.150
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.10.10.150 - e02f.6d96.8dd0 ARPA Vlan10
rtr#sh sh ip route 10.10.10.150

Cisco TAC 目前正在嘗試重現此問題以向開發人員報告。

有沒有其他人遇到過這個問題或解決方法?

謝謝。

愚蠢的錯誤。

由於 SSL VPN 設備是“自然內部”的設備,因此我們必須採用其他方式。

如“ip nat inside source static tcp 10.10.10.150 43 44.55.66.255 43”

基本上將設備從翻譯中排除,並且不創建另一個 arp 條目。

引用自:https://serverfault.com/questions/733185