你有几个选择，其中两个特别适合我。

解决方案 1
很多时候，当供应商说“不允许NAT ”时，他们的真正意思是“不允许PAT ”。这通常是因为根据定义，PAT 是单向的。在大多数 VPN 类型的系统中，两个对等点都需要能够向对方发起流量，这在 PAT 等单向通信系统中是不可能的。

因此，解决方案是为您的 Checkpoint Firewall 提供一个专用地址，例如 192.168.1.25。然后在您的 ASA 上创建一个静态 NAT，以将 192.168.1.25 转换为您的 ISP 分配的附加 /30 中的一个 IP。

从 VPN 配置的角度来看，远程端将使用 Public /30 地址作为其“对等点”，而您将使用另一端的 IP 地址作为“对等点”。然后，只要启用 NAT Traversal（通常默认情况下启用，但我只能在 Cisco ASA 上确认），VPN 隧道应该能够通过静态 NAT 构建。

这是您理想的解决方案，如果可以的话，我建议您走这条路。主要是因为您保留了他们在 /30 中给您的 4 个 IP 中的其他 3 个 IP。但是，如果您认为这些没有用，现在或将来，解决方案 2 可能对您有用：

解决方案 2
使用您的 ISP 分配的 /30 作为其自己的 ASA 和检查点之间的“中转”网络。您将需要 ASA 上的附加接口，或者您可以使用中继配置获得相同的效果。ASA 将有两个分段，即中转网络和 DMZ 网络。那么你的“内部”网络将只是在检查点“后面”。

我打算尝试用文字来解释这一点，但我认为图片更容易。我编造了 IP，因为您没有提供它们：

您可以使用 ASA 上的身份 NAT 来允许流量通过未经过处理的流量，或者简单地为 /30 网络配置 NAT 豁免。

除此之外的所有其他选项都需要一点创造力，但可能被认为是非标准的，因此应避免使用，除非上述解决方案不起作用。如果他们不这样做，请提供具体的详细信息，以便我们可以尝试提供其他解决方案。