Wie erreiche ich meinen internen Server über die externe IP?

10

Wir versuchen, unser Cisco 5505 zu konfigurieren, und dies wurde über ASDM durchgeführt.

Es gibt ein großes Problem, das wir nicht lösen können, und dann gehen Sie von innen nach außen und wieder hinein.

Beispiel: Wir haben einen Server "innen" und möchten diesen Server mit derselben Adresse erreichen können, wenn wir uns innen oder außen befinden.

Das Problem besteht darin, eine Regel hinzuzufügen, die den Datenverkehr von innen nach außen und dann wieder wieder zulässt.

Vordergrund
quelle
Wir können Ihnen auf keinen Fall mit so wenig Informationen helfen. ASAs sind komplex. Sie benötigen einen Netzwerk-Mitarbeiter, der dies für Sie konfiguriert. Andernfalls funktioniert es zum schlechtesten Zeitpunkt nicht mehr oder Sie werden gehackt.
Chopper3
Off-Topic: Sie sollten sich mit der Aktualisierung dieses ASA auf eine neuere Softwareversion befassen, da alle neuen Dokumentationen /
Anleitungen
pauska, wir haben darüber nachgedacht und versucht, die neueste Firmware zu bekommen, aber aufgehört, da es extra zu kosten schien, aber vielleicht lohnt es sich!
Vor dem

Antworten:

17

Die ASA-Firewall kann keinen Datenverkehr weiterleiten. Sie müssen die interne Adresse mit der externen Adresse vergleichen.

Lösung 1: DNS-Doctoring mit statischem NAT

Angenommen, die IP-Adresse Ihrer externen Website lautet 1.2.3.4 und wird dann erneut an die interne IP-Adresse 192.168.0.10 weitergeleitet (oder direkt NAT-weitergeleitet). Beim DNS-Doctoring wird Folgendes passieren:

  1. Der Client auf der Innenseite fordert http://www.companyweb.com an , was ursprünglich in 1.2.3.4 übersetzt wurde
  2. Der ASA fängt das DNS-Antwortpaket ab und ersetzt den A-Eintrag durch 192.168.0.10
  3. Der Kunde freut sich sehr, da er nun die Firmenwebsite öffnen kann :-)

Weitere Informationen dazu, wie Sie dies aktivieren, finden Sie unter: http://www.cisco.com/de/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Lösung 2: Interner DNS-Server

Diese ist nützlich, wenn Sie nur eine externe IP haben und diese IP an viele interne Dienste auf verschiedenen Servern weiterleiten (Angenommen, Port 80 und 443 gehen an 192.168.0.10, Port 25 geht an 192.168.0.11 usw.).

Es ist keine Konfigurationsänderung auf dem ASA erforderlich, Sie müssen jedoch Ihre externe Domäne auf einem internen DNS-Server duplizieren (in Active Directory ist dies integriert). Sie erstellen nur genau die gleichen Datensätze wie jetzt, nur mit internen IP-Adressen für die Dienste, die Sie intern haben.

"Lösung" 3: DMZ-Schnittstelle mit öffentlichen IPs

Ich werde hier nicht auf viele Details eingehen, da Sie dafür ein Subnetz von IP-Adressen von Ihrem ISP erhalten müssen, der an Ihren ASA weitergeleitet wird. Es ist heutzutage sehr schwer mit dem IPv4-Hunger.

pauska
quelle
Gute Antwort. +1
Carlos Garcia
Vielen Dank für die nette Antwort. Ich denke, wir werden uns für das interne DNS-System entscheiden. Und erwägen den Kauf eines Upgrades auf der ASA
Fore
1
Ich habe festgestellt, dass Nummer 1 hervorragend funktioniert, wenn ich eine DNS-Inspektionskarte habe. Auf den ASA-Firewalls, auf denen ich keine Inspektionskarte hatte, ist dies fehlgeschlagen ( fixup protocol dnsfunktioniert auch). Vielen Dank, dass ich mich eingehender damit befasst habe.
ewwhite
3

Da andere ähnliche Fragen als Duplikate mit einem Verweis auf hier markiert werden, möchte ich die ausgezeichnete Antwort von @pauska mit einer vierten Option ergänzen.

Lösung 4: Weiterleiten des Datenverkehrs über NAT Hairpinning

Das Zurücklassen des Datenverkehrs über eine Schnittstelle auf einer Cisco PIX / ASA-Appliance, z. B. wenn ein nat: ed-Client über seine öffentliche IP auf einen nat: ed-Server zugreift, wird von Cisco als NAT Hairpinning bezeichnet.

Es werden im Wesentlichen dieselben Konfigurationsparameter wie für die Weiterleitung von Nat und Port verwendet, jedoch mit dem Zusatz dieses Befehls:

same-security-traffic permit intra-interface

und eine zweite statische Zuordnung für den Inside-to-Inside-Verkehr zum Server:

static(inside,inside) i.i.i.i x.x.x.x

Dies wird hier anhand eines Konfigurationsbeispiels für ein Design mit zwei Schnittstellen ausführlich beschrieben: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

Und hier ist eine Ziel-NAT-Alternative für ein Design mit drei Schnittstellen: http://www.cisco.com/de/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

ErikE
quelle
1

Sie können auf einem Pix / ASA nicht von innen auf die äußere Schnittstelle zugreifen. Sie sollten DNS-Anforderungen für die externe Adresse des Servers an die interne Adresse umleiten.

ewwhite
quelle