MYOEY 10 Posted June 18, 2009 Report Posted June 18, 2009 Hallo zusammen, Ich habe eine PIX515E mit 4 Interfaces(inside,outside,dmz1,dmz2) Ziel ist es, dass ein Subnet(aus inside) 10.10.1.0/24 einen FTP Server, der am dmz2 hängt, erreichen kann! Der ganze Traffic, der durch das interface dmz2 geht, sollte mit der IP Adresse des interfaces(dmz2) mit "PAT" übersetzt werden. Folgendes habe ich konfiguriert: global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 global (dmz2) 2 interface nat (dmz2) 2 0.0.0.0 0.0.0.0 Den FTP Server kann ich von der FW aus problemlos anpingen aber wenn ich von dem Subnet 10.10.1.0/24 aus versuche, einen ping oder ftp session aufzubauen, erreiche ich den nicht! wie kann man das am besten bzw. am elegantesten konfigurieren? Wie wäre's mit einem "static (inside,dmz2) .... " und wie soll dieser Eintrag ausschauen? Ich bedanke mich für jeden Tipp bzw. Idee schon im voraus! Grüße Quote
Otaku19 33 Posted June 18, 2009 Report Posted June 18, 2009 das nat muss sich schon auf das inside interface beziehen....das muss dir aber auch schon die Konfiguration vom "internetzugang" sagen. Aber warum machst nicht eine NAT exemption für diesen Zugriff ? Quote
MYOEY 10 Posted June 18, 2009 Author Report Posted June 18, 2009 Danke für deine Antwort! wie sollte "eine NAT exemption" in diesem Fall aussehen? Ich habe mit den folgenden static command versucht: static (inside,DMZ2) interface 10.10.1.0 netmask 255.255.255.255 Ich will erreichen, dass der ganze Traffic aus dem Subnet "10.10.1.0" von der inside in die dmz2 mit der ip adresse des interfaces(dmz2) übersetzt wird aber es funktioniert leider nicht!!! wie sollte sonst der command aussehen? danke im voraus. Grüße Quote
Otaku19 33 Posted June 18, 2009 Report Posted June 18, 2009 so kanns auch nicht klappen...was du brauchst ist eine dynamic NAT config: nat (inside) 1 10.10.1.0 255.255.255.0 global(dmz2) 1 interface aber wie gesagt, warum müssen die Adressen übersetzt werden ? Das bringt ausser zusätzlichen Aufwand für die ASA genau nix, das würde man nur machen wenn es nach der DMZ noch irgendwie weiter geht und dort das interne Netz nicht bekannt ist. Quote
MYOEY 10 Posted June 22, 2009 Author Report Posted June 22, 2009 Vielen Dank. es fnktioniert! du hast es richtig erkannt, der Traffic geht weiter zum nächsten Hop über dmz2, der dieses Subnet nicht bekannt ist :-) ausdem Grund ist das PAT mit dem dmz2 interface. Danke nochmal Grüße Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.