Доступ к удаленному сетевому ресурсу, у которого нет шлюза по умолчанию

Question

У меня есть ресурс, к которому нам нужно подключиться в удаленной сети. Я могу подключиться к сети через VPN, но не могу подключиться к конечному устройству.

Я обнаружил, что у конечной точки есть IP-адрес 192.168.15.10, маска сети 255.255.255.0, но нет шлюза по умолчанию. Мой маршрутизатор (Cisco ASA 5505) находится на 192.168.15.1.

Могу ли я что-нибудь сделать с Cisco, которая позволила бы нам получить доступ к 192.168.15.10 из VPN (192.168.16.0/24), даже если шлюз по умолчанию на нем пуст? Это проблема, которую мы должны отправить кому-то на сайт для решения?

Answer 1

Возможно, пока вы можете настроить маршрутизатор рядом с вашим устройством.

По сути, вам нужно включить (S)NAT на маршрутизаторе - заставить его маскировать ваши соединения, используя собственный IP-адрес маршрутизатора, который находится в той же подсети, что и устройство.

Я не знаю, как настроить ASA для этого, и даже если это возможно, но вот как вы бы это сделали в Linux iptables:

-t nat -A POSTROUTING -s 192.168.16.200 -d 192.168.15.10 -j MASQUERADE

То же самое, но с адресом, настроенным вручную:

-t nat -A POSTROUTING -s 192.168.16.200 -d 192.168.15.10 -j SNAT --to-source 192.168.15.1

Answer 2

Ответ @ grawity ниже помог мне начать. Вот как я выполнил маскировку от Cisco ASA. Это было сделано с ASA v9.2(3)

В CLI:

object network VPN_HOST
  host 192.168.16.200
object network INTERNAL_HOST
  host 192.168.15.10
nat (any,inside) 1 source static VPN_HOST interface destination static INTERNAL_HOST INTERNAL_HOST

В ASDM (v7.6 (2)150):