6 Antworten in diesem Thema

[Stefan W]

Grüß euch,

Meine Asa bereitet mir wiedermal Kopfzerbrechen
Ich habe in unserer DMZ folgendes Netz
172.99.0.0/16
Die Asa hat 172.99.0.1

show xlate
2 in use, 164 most used
Global 212.x.x.x Local 172.99.0.10
PAT Global 109.x.x.x(34441) Local 172.99.0.101(3389)

Zusätzlich haben wir eine dynamische NAT Rule, die uns das Netz 172.99.0.96/28 auf 109.x.x.y (Outside109 Interface IP) zu übersetzen.

somit auch die 172.99.0.101

Statische Routen sind 2 Konfiguriert

route Outside212 0.0.0.0 0.0.0.0 212.x.x.z 1
route outside109 0.0.0.0 0.0.0.0 109.x.x.z 2

Problematisch ist somit folgendes:
172.99.0.10 wird genattet auf eine 212er IP, und kann über die Outside212 Route kommunizieren
172.99.0.101 wird dynamisch auf eine 109er IP genattet, und könnte über die Route Outside 109 kommunizieren - will aber die Outside212(weil kürzere Metric) verwenden

Folgende Frage:
Wie bringe ich der ASA bei, dass sie die Route Outside 109 verwenden soll, wenn Anfragen von 172.99.0.96/28 daherkommen, und Outside212 verwenden soll, wenn Anfragen von 172.99.0.0/28 daherkommen?

lg

[Otaku19]

dazu würde es pbr bedürfen und das gibts auf der ASA nicht, siehst eh im packet-tracer das zuerst ein route lookup gemacht wird bevor das NAT zieht

[Stefan W]

Das heißt ich habe garkeine Chance das so zu auf der ASA realisieren?

[Otaku19]

meines Wissens nach, nein Da es sich wohl bei beiden ZUgängeng um Internetuplinks ohen spezielle Ziele handelt hast du eher Pech.

[Stefan W]

Stimmt,
mit speziellen Zielen hab ich kein Problem - einfach eine Route mit niedrigerer Metric zu dem /32 Host hin und feddisch.

[Otaku19]

nein, nix da niedrigere Metrik, da jedes Ziel ja schon more specific als 0.0.0.0 ist, zieht die route sowieso vorher

[Stefan W]

nein, nix da niedrigere Metrik, da jedes Ziel ja schon more specific als 0.0.0.0 ist, zieht die route sowieso vorher

Auch gut jedenfalls zieht sie vorher.

Leider kann ich das nicht so einschränken. - ich glaub ich hab ein Problem