Ich habe einen ASA5525-X mit 9.1.2. Darauf befinden sich mehrere Schnittstellen, aber in erster Linie schaue ich:
(gefälschte Subnetze)
- innerhalb von 10.0.0.0/24, Sicherheitsstufe 100
- außerhalb 10.0.200.0/24, Sicherheitsstufe 0
- DMZ 10.0.100.0/24, Sicherheitsstufe 50
Ich habe einen DNS-Server in DMZ, 10.0.100.1, auf den ich problemlos von innen zugreifen kann. Ich möchte jedoch, dass es für Leute im Internet als 10.0.200.95 (in diesem Beispiel keine echte IP) angezeigt wird. Ich habe das, was ich für nötig hielt, damit dies funktioniert, aber wenn ich es teste, werden die Pakete von der Standard-ACL verworfen.
Relevante Konfigurationsstücke:
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.0.200.194 255.255.255.192
interface GigabitEthernet0/6
nameif DMZ
security-level 50
ip address 10.0.100.254 255.255.255.0
interface GigabitEthernet0/7
nameif inside
security-level 100
ip address 10.0.0.254 255.255.255.0
object network DMZ-DNS-Server-1
host 10.0.100.1
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
object network DMZ-DNS-Server-1
nat (DMZ,outside) static 10.0.200.195 net-to-net
nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface
access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain
access-group traffic-in-outside in interface outside
Irgendwelche Ideen?
Antworten:
Ändern Sie Ihre ACL so, dass anstelle der übersetzten Adresse (10.0.200.195) auf die tatsächliche Adresse des Servers (10.0.100.1) verwiesen wird. Dies ist eine weitere Änderung in 8.3+. ACLs stimmen mit realen Adressen überein.
quelle
Sie müssen ein statisches NAT einrichten, um dies zu tun, da sich dies ab Version 8.3 geringfügig geändert hat. In 9 möchten Sie dies wie folgt tun:
quelle
packet-tracer
Befehl ein Paket zu emulieren, das die ASA durchläuft, um festzustellen, wo es fehlschlägt?