NAT an ASA mit zwei Outside Interfaces

[DocZenith 12]

Hallo,

 

ich hab hier eine ASA5510, an der sind zwei Internetleitungen angeschlossen (Outside, Outside2).

 

Nun möchte ich von extern über Outside2 einen internen Webserver erreichen. Dazu habe ich auch meine Konfig angepasst mit ACL (http von any auf intern ziel ip) und static NAT angepasst.

 

u.a.

 

static (inside,outside2) interface a.b.c.d netmask 255.255.255.255

 

Laut Cisco Doku keine große Sache (Link), nur leider kein Erfolg :-(

 

Ich vermute es liegt am Default GW was in der ASA eingetragen ist, das zeigt nämlich auf das Outside Interface, nicht auf Outside2, welches in nutzen möchte.

 

Kann mir jemand einen Tip geben?

 

Gruß.

[Otaku19 33]

welches OS hast du ? denn wenn ich da sehe:

http von any auf intern ziel ip

 

dann ist die entweder outgoing richtung Server gebunden oder wir reden hier von 8.3.

 

Glaube beim Routing sollte es keine Probleme geben, die ASA sollte dei Antwortpakete über Fastpath wieder aus dem richtigen Interface rausblasen, da hilft capturen immer um das genau festzustellen

[DocZenith 12]

dann ist die entweder outgoing richtung Server gebunden

 

was meinst du damit genau?

 

ich habe zwei acls:

 

- einmal bei outside2 (incoming rules) mit source any, Destination interne ip, service http/https mit permit

 

- einmal bei inside (incoming rules) mit source intern, Destination any, service http/https mit permit

 

 

ASA Version ist 8.0.(4)

[blackbox 10]

hi,

 

das hatten wir doch glaube schonmal... 2 x outside mag die asa nicht so dolle.

[DocZenith 12]

Danke für die Infos.

 

Ich hab jetzt ne alte pix ausgekramt und machs darüber mit einem outside, das funktioniert.

[blackbox 10]

hi,

 

du meinst 1 x asa & 1 x pix ?

[DocZenith 12]

@ blackbox: ja, da zweimal outside bei der asa nicht so funktioniert hat, hab ich jetzt separat ne pix genommen.

[DocZenith 12]

Noch eine weitere Frage diesbezüglich, kann ich denn in der pix oder asa eintragen, dass die adressumleitung intern auf einen Servernnamen mit zusätzlichem pfad geht? So wie ich das sehe, kann ich die umleitung intern nur auf eine Ziel IP einstellen, ich würde aber gerne sowas wie 192.168.1.1/website1 oder servername/website1 einstellen. Das Ziel ist ein Webserver wo mehrere Websites gehostet werden.

 

Gruß.

[blackbox 10]

Hi,

 

das wird auf der PIX definitiv nix - da falscher "Layer" - auf der ASA könnte es evtl. gehen - da müsste ich aber auch mal schauen

[jussi 11]

hallo,

 

wenn du 192.168.1.1/website1 zur default website machst die auf 80 "hört" wenn server 192.168.1.1 erreicht wird reicht natürlich einfaches DNAT welches sowohl mit der pix aus lauch der asa geht.

 

wichtig ist eben dass du den einen port (80) nur einmal (pro offizieller ip) weiterleiten kannst und keine host header hast, weil wie black sagte, die pix nichts von der application weiss. (layer 4 und höher)

[Otaku19 33]

das wird definitv nix au der Firewall, das musst du schon am Server regeln

[Wordo 11]

</html>

<head>

<meta http-equiv="refresh" content="0; URL=/pfad/">

</head>

</html>

 

Trag das als index.html im Root ein ...