ASA Port Weiterleitung Outside->Inside

[Alphaman]

Hi Leute,

ich weiss nicht ob der Titel passend ist, aber ich muss von aussen z.B. auf einen Webserver und einem Mailserver zugreifen. Wir verwenden eine Cisco ASA 5505.

Extern haben wir mehrer IP Adressen (Subnet 29 Bit) aber es soll nur eine der IP Adressen für alle Dienste genommen werden. Die Protokolle HTTP/HTTPS/SMTP sollen auf einen bestimmten Server gelenkt werden.

Ich habe es mit den Security Policys versucht, aber das wollte nicht so. Ich habe eingestellt das Source "any" Adresse ist und die Destination soll der Server im Internen Netz sein. Natürlich das ganze auf die oben genannten Protokolle begrentzt.

Leider wollte das nicht klappen.... Was mache ich falsch? Ich hoffe das mir jemand helfen kann. Ich habe schon so einiges probiert aber alles wollte nicht klappen. In den Cisco Beispielen wird immer nur eine Virtuelle IP Adresse benommen die dann auf den internen Server zeigt. Habe das zwar versucht umzusetzen aber das wollte nicht. Wie gesagt, wollen wir nur eine IP aussen nehmen.

Kann mir jemand bitte helfen. Dickes Danke schon mal.

Gruß,
Alphaman

[blackbox]

Hallo,

nimm diese Lösung hier : PIX/ASA 7.x and above : Mail Server Access on Inside Network Configuration Example - Cisco Systems

und bei Outside einfach nur statt der IP - Interface Outside - hier beispiel :

access-list outside_access_in extended permit tcp any interface outside eq smtp

static (inside,outside) tcp interface smtp 192.168.250.10 smtp netmask 255.255.255.255

dann sollte es auch nur mit einer IP klappen.

[Alphaman]

Zitat von blackbox Hallo, nimm diese Lösung hier : PIX/ASA 7.x and above : Mail Server Access on Inside Network Configuration Example - Cisco Systems und bei Outside einfach nur statt der IP - Interface Outside - hier beispiel : access-list outside_access_in extended permit tcp any interface outside eq smtp static (inside,outside) tcp interface smtp 192.168.250.10 smtp netmask 255.255.255.255 dann sollte es auch nur mit einer IP klappen.

Hi,

danke für die Information. Ich habe es jetzt hinbekommen. Ich hätte da aber trotzdem eine Frage zu dem Static NAT, denn da habe ich meinen Fehler gemacht.

Ich habe z.B. geschrieben

static (inside,outside) 123.123.123.121 129.168.1.2 netmask 255.255.255.255

Die IP Adresse 123.123.123.121 ist die öffentliche IP Adresse im Internet, welche das Outgoing Port hat. Wenn ich es so schreibe dann geht es nicht, wenn ich aber dies mit

static (inside,outside) interface 129.168.1.2 netmask 255.255.255.255

schreibe, dann geht es. Wo ist der unterschied. Kann mir das vielleicht jemand noch erklären. Danke.

Gruß,
Alphaman

[blackbox]

Die kannst es mit der IP dann schreiben, wenn es nicht die Interface IP ist. Sonst will er Interface haben - er kommt sonst durcheinander.

LG