Jump to content

NAT-Frage für eingehenden Traffic


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo!

Mittels einer statischen NAT Regel in einer ASA 5510 es so eingerichtet, das ein Server im "inside" über eine bestimmte IP von "outside" erreichbar ist (z.B. Port 80). Die Anfragen beim Server im Inside kommen direkt von der IP des Anfragenden an.

 

Aufgrund unserer Netzwerk-Config bräuchte ich es aber so, daß die Anfrage beim Server im "inside" mit der IP des Cisco-Interfaces (von inside) ankommt.

 

Wie kann ich das Routing (NAT?!) dahingehend abändern - welche Config ist dafür notwendig?

 

Hintergrund: Abgesehen von der VPN-Thematik in meinem anderen Thread soll noch ein zweiter Server angesprochen werden. Dieser hat aber als Standardgateway einen anderen als den Cisco. Auf diesem anderen Gateway ist eine Route eingerichtet das Traffic adressiert an den Cisco auch zu ihm geschickt werden. Da die Anfrage aber derzeit von einer beliebigen IP im iNet kommt, schickt das zweite Gateway sie über sich selbst ins Netz zurück und das verläuft natürlich im Nirvana.

 

Das funktioniert bestimmt irgendwie mit "Configuring Static Policy NAT, PAT, or Identity NAT" (Chapter 21) im Handbuch - aber ich versteh' es leider nicht ganz :/

 

Got it? ;)

Link to comment
  • 3 weeks later...

Das ist nicht so einfach, hast du mehrere IPs extern zur Verfuegung?

Wenn ja:

 

static (inside,outside) tcp interface <port> <inside host> www netmask 255.255.255.255

 

Das ist das NAT nach drin wie von dir beschrieben.

 

Dann:

 

access-list outside_nat_outbound extended permit ip any host <externe Pool IP>

global (inside) 1 <externe Pool IP>

nat (outside) 1 access-list outside_nat_outbound outside

 

Ich hab das jetzt nur mit der richtigen externen IP bei ner Test-ASA probiert, wenn du das live an der einzigen globalen IP machst kannst du dich von extern nicht mehr auf die ASA verbinden. So hats aber bei mir geklappt.

Link to comment
  • 3 weeks later...

Sooooo... frohes Neues jetzt mal so fast am Ende vom Januar ;)

 

Bin nicht eher dazu gekommen - sorry. Dafür aber jetzt um so mehr!

 

Habe mal Deine Zeilen oben genau so angewandt - jetzt kommt beim Server im Inside nicht mehr die reale IP des Anfragenden an, sondern die externe IP vom Outside. Ich dachte eigentlich, das beim Server die IP der ASA ankommt, aber nungut - ich werde mal veranlassen, das auf dem anderen Standardgateway das Routing angepasst wird - wenn's klappt (oder auch nicht) melde ich mich :)

Link to comment

Also meine neuen Zeilen sind:

 

access-list outside_nat_outbound extended permit ip any host x.x.x.x

global (inside) 1 x.x.x.x

nat (outside) 1 access-list outside_nat_outbound outside

static (inside,outside) x.x.x.x mac-apache netmask 255.255.255.255

 

wobei x.x.x.x halt meine externe IP Adresse ist, welche nur für den gewünschten Zugriff dient - und "mac-apache" ist mein Rechner zum Testen im Inside ob's geht ;)

 

Das liefert mir halt oben besagtes Ergebnis das nun die externe IP zum mac-server geroutet wird, nicht die IP der ASA.

 

Keine Ahnung, ob sonst noch was aus der Config da "reinfunkt".... sollte nicht aber meine Kenntnisse sind hier etwas bescheiden :)

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...