Cisco ASA külső interfész elérése belülről

Hálózatok általános

Sziasztok!

Egy cisco ASA 5520-at szeretnék konfigurálni úgy, hogy a belső hálózatból is elérhető legyen a külső interfész.

A külső interfészen DHCP-n kapom az IP-t az ISP-től, erre van egy dyndns.

NAT beállítva, szépen megy. A belső gépek DHCP-n kapnak az ASA-tól a 10.0.0.0/24-ből IP-t.

Interfész nevek: outside , inside (az egyszerűség kedvéért).

Van pár port-forward szabály a belső szerver(ek)re. Ezek kívülről működnek.

Hogy tudom elérni, ha a belső hálózaton lévő gépen a dyndns címmel hívok meg egy szolgáltatást egy adott porton, akkor az ne csak kívülről működjön hanem belülről is?

SW: Cisco ASA 9.1

köszi

  • 2205 megtekintés

( Zs | 2016. 07. 20., sze – 18:59 )

Ha belülről akarsz úgy portforwardot tolni, hogy a cél is belül van, akkor nem elég a DNAT, akkor SNAT is kell - ellenkező esetben a válasz direktben megy vissza, ami a kliensnek nem teljesen az lesz, mint amire számít. Más szavakkal: mivel a válasz direktben megy vissza, így nem halad át azon a gépen, amely módosításokat (DNAT) végzett rajta, így nincs lehetősége a válasz csomagban ezen módosításoikat "visszacsinálni".
A legtöbb esetben ez a hiba oka, a visszairány biztosítása szokott elfelejtődni.
A szabályok ismerete nélkül csak tippelni tudunk.

NAT szabály részlet - nincs túlbonyolítva...

nat (inside,outside) source static NETWORK_OBJ_10.0.0.0_24 NETWORK_OBJ_10.0.0.0_24 destination static NETWORK_OBJ_10.0.0.64_26 NETWORK_OBJ_10.0.0.64_26
no-proxy-arp route-lookup
!
nat (inside,outside) after-auto source dynamic any interface
access-group inside_access_in in interface inside

Ide jutottam én is, csak minden példa fix külső IP-vel van. Nekem meg dinamikus.

static (inside,outside) tcp interface www 10.0.0.2 www netmask 255.255.255.255
static (inside,inside) tcp valamikulsopublicip www 10.0.0.2 www netmask 255.255.255.255

Ezt el tudom képzelni, hogy esetleg megy ha bedrótozom a külső IP-t. (Nem próbáltam).

( quash | 2016. 07. 20., sze – 20:29 )

Vagy fogod és ha ASA-n van a DNS, felveszed statikus bejegyzésként a külső címet belső IP-vel ....
Igy nem kell semmilyen rule.