NAT-Frage für eingehenden Traffic

[Spacey 11]

Hallo!

Mittels einer statischen NAT Regel in einer ASA 5510 es so eingerichtet, das ein Server im "inside" über eine bestimmte IP von "outside" erreichbar ist (z.B. Port 80). Die Anfragen beim Server im Inside kommen direkt von der IP des Anfragenden an.

 

Aufgrund unserer Netzwerk-Config bräuchte ich es aber so, daß die Anfrage beim Server im "inside" mit der IP des Cisco-Interfaces (von inside) ankommt.

 

Wie kann ich das Routing (NAT?!) dahingehend abändern - welche Config ist dafür notwendig?

 

Hintergrund: Abgesehen von der VPN-Thematik in meinem anderen Thread soll noch ein zweiter Server angesprochen werden. Dieser hat aber als Standardgateway einen anderen als den Cisco. Auf diesem anderen Gateway ist eine Route eingerichtet das Traffic adressiert an den Cisco auch zu ihm geschickt werden. Da die Anfrage aber derzeit von einer beliebigen IP im iNet kommt, schickt das zweite Gateway sie über sich selbst ins Netz zurück und das verläuft natürlich im Nirvana.

 

Das funktioniert bestimmt irgendwie mit "Configuring Static Policy NAT, PAT, or Identity NAT" (Chapter 21) im Handbuch - aber ich versteh' es leider nicht ganz :/

 

Got it? ;)

[Spacey 11]

*push* :/ :D

[Wordo 11]

Das ist nicht so einfach, hast du mehrere IPs extern zur Verfuegung?

Wenn ja:

 

static (inside,outside) tcp interface <port> <inside host> www netmask 255.255.255.255

 

Das ist das NAT nach drin wie von dir beschrieben.

 

Dann:

 

access-list outside_nat_outbound extended permit ip any host <externe Pool IP>

global (inside) 1 <externe Pool IP>

nat (outside) 1 access-list outside_nat_outbound outside

 

Ich hab das jetzt nur mit der richtigen externen IP bei ner Test-ASA probiert, wenn du das live an der einzigen globalen IP machst kannst du dich von extern nicht mehr auf die ASA verbinden. So hats aber bei mir geklappt.

[Spacey 11]

Habe mehrere externe IPs für die ASA zur Verfügung - auch noch Freie ;)

 

O.K., vielen Dank! Teste das mal...morgen dann... oder wenn ich nicht mehr dazu komme dann im nächsten Jahr...

 

Merci again!

 

Servus....

[Wordo 11]

Und schreib bitte wie dus gemacht hast, irgendwann brauch ichs bestimmt auch mal und will nich wieder ne Stunde vergeuden ;)

[Spacey 11]

Sooooo... frohes Neues jetzt mal so fast am Ende vom Januar ;)

 

Bin nicht eher dazu gekommen - sorry. Dafür aber jetzt um so mehr!

 

Habe mal Deine Zeilen oben genau so angewandt - jetzt kommt beim Server im Inside nicht mehr die reale IP des Anfragenden an, sondern die externe IP vom Outside. Ich dachte eigentlich, das beim Server die IP der ASA ankommt, aber nungut - ich werde mal veranlassen, das auf dem anderen Standardgateway das Routing angepasst wird - wenn's klappt (oder auch nicht) melde ich mich :)

[Wordo 11]

Sicher das du dich nicht irgendwo vertippt hast? Bei mir hats definitiv geklappt (ohne Pool)

[Spacey 11]

Also meine neuen Zeilen sind:

 

access-list outside_nat_outbound extended permit ip any host x.x.x.x

global (inside) 1 x.x.x.x

nat (outside) 1 access-list outside_nat_outbound outside

static (inside,outside) x.x.x.x mac-apache netmask 255.255.255.255

 

wobei x.x.x.x halt meine externe IP Adresse ist, welche nur für den gewünschten Zugriff dient - und "mac-apache" ist mein Rechner zum Testen im Inside ob's geht ;)

 

Das liefert mir halt oben besagtes Ergebnis das nun die externe IP zum mac-server geroutet wird, nicht die IP der ASA.

 

Keine Ahnung, ob sonst noch was aus der Config da "reinfunkt".... sollte nicht aber meine Kenntnisse sind hier etwas bescheiden :)

[Wordo 11]

Wird:

 

global (inside) 1

nat (outside) 1

 

... sonst noch irgendwo verwendet?

 

 

 

EDIT: Dein Nick hat aber nix mit SpaceNet zu tun? :)

[Spacey 11]

Nein, nix Spacenet... kommt von "Space Rat" eigentlich ;) Sitze aber auch in Muc....

 

ansonsten habe ich nur noch:

 

global (outside) 1 interface

 

und einige nat's für div. andere inside Interfaces...