access-list Inbound extended permit tcp any host 196.202.88.125 eq 3389
access-group Inbound in interface Outside
static (Inside,Outside) 196.202.88.125 192.168.2.30 netmask 255.255.255.255
الأوامر دول بيسمحوا لأي شخص من outside أنه يعمل access للسيرفر 192.168.2.30على TCP 3389
فيه NAT والأشخاص الموجودين في outside بيشوفوا السيرفر على أنه 196.202.88.125 و ASA بيحول IP Address من196.202.88.125إلى192.168.2.30وبالعكس (ثنائي الإتجاه)
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
crypto map Outside_map 1 match address Outside_1_cryptomap
أي ترافيك بين 192.168.1.0و 192.168.2.0 حيكون encrypted و ASA لما يشوف ترافيك بين 2 subnets حيقوم بإعداد وتهيئة VPN tunnel مع الطرف الثاني
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
global (Outside) 1 interface
nat (Inside) 1 192.168.2.0 255.255.255.0
الأمرين دول بيسمحوا للإشخاص الموجودين في subnet 192.168.2.0أنهم يطلعوا للإنترنت عن طريق PAT وحيستخدموا IP Address تبع Outside interface196.202.88.122
كل شيء تمام ولكن VPN ما حيشتغل لأنه كل الترافيك الطالع من 192.168.2.0حيكون pat وحيتغير IP address مثلا من 192.168.2.214 إلى 196.202.88.122
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
وحسب order of operations الموجود في ASA -- دايما NAT أو PAT يشتغل قبل VPN
يعني الشرط الموجود في
access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
مش حيتحقق و VPN ما حيشتغل
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
الحل هو nat exemption
access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
nat (Inside) 0 access-list Inside_nat0_outbound
هنا بنقول ل ASA أنه فقط أي ترافيك من 192.168.2.0 ل 192.168.1.0 ما حيكون Pat وحيطلع بدون أي تغيير من ASA
------------------
هذا بالنسبة ل site 2 ونفس الفكرة ل site 1