speer 19 Geschrieben 4. April 2014 Melden Geschrieben 4. April 2014 Hallo zusammen, ich hänge fest und hänge gerade in der Luft. Ich möchte vom outside Interface einen Webserver im inside Interface erreichen. ASA 5505 8.2 Konfiguration soweit und NAT Adresse ist 192.168.20.1: VLAN 1 nameif inside 192.168.10.0 255.255.255.0 VLAN 2 nameif outside 192.168.20.0 255.255.255.0 access-list out_2_in Extended Permit object-group WEB_Ports any host 192.168.20.1 global (outside) 1 192.168.20.1 nat (inside) 1 access-list WEB_Ports static (inside,outside) 192.168.20.1 192.168.10.1 netmask 255.255.255.255 access-Group out_2_in in Interface outside Ich kann über meinen Laptop mit der IP 192.168.20.100 (Outside) den Webserver über 192.168.20.1 erreichen. Der Webserver selbst kann mich allerdings ebenfalls auf 192.168.20.100 erreichen. Mein Problem ist wieso? Eigentlich dürfte er mich gar nicht erreichen und wieso zieht die global Adresse nicht? Ziemlich viele Fragen :( Hoffe jemand hat einen guten tip oder hilft mir beim Verständnisproblem :) Speer
speer 19 Geschrieben 8. April 2014 Autor Melden Geschrieben 8. April 2014 Guten Morgen, ich habe mittels Wireshark geloggt. Folgende Ausgangssituation: 1. Webserver hängt an int eth 0/0 (Inside) mit der IP 192.168.10.1/24 und Gateway 192.168.10.254 2. Mein Client hängt an int eth 0/6 (outside) mit der IP 192.168.20.159 und Gateway 192.168.20.159 3. Die S-NAT Adresse im Outside ist 192.168.20.1 4. Ich logge den Traffic von eth 0/0 auf 0/6 Rufe ich von meinem Client die NAT IP auf, ist auf dem int eth 0/6 alles ok, source und Destination stimmen Auf dem inside sehe ich aber meine source als 192.168.20.159 und die IP des Webservers 192.168.10.1. Genau dies ist der Fehler. Mein Webserver nimmt nur Anfragen von der NAT Adresse an! Wieso wandelt die ASA die NAT IP in meine reale IP? Fragen über Fragen :)Speer
blackbox 10 Geschrieben 8. April 2014 Melden Geschrieben 8. April 2014 Hallo, das Nat Overload ist für abgehende Verbindungen. Sprich von innen nach aussen - warum sollte man von aussen nach innen NAT machen - man will ja wissen wer "zugreift". Sonst musst du da auch noch ein NAT reinbauen - habe ich aber noch nie gemacht.
speer 19 Geschrieben 9. April 2014 Autor Melden Geschrieben 9. April 2014 (bearbeitet) Hallo, mir geht es ums Prinziep. Ich möchte sowohl eingehend als auch ausgehender Traffic auf eine NAT IP legen. Ich dachte eigentlich so müsste es klappen. Doch irgendwo ist noch ein Denkfehler drin: 192.168.1.0/24 = inside und 192.168.3.0/24 = outside access-list out-nat Extended Permit ip 192.168.1.0 255.255.255.0 host 192.168.1.2 access-list in-nat Extended Permit ip any host 192.168.3.20 static (inside,outside) 192.168.3.20 192.168.1.1static (outside,inside) 192.168.1.2 192.168.3.20access-Group out-nat in Interface insideaccess-Group in-nat in in Interface outside Bei sh nat sehe ich nur für in-nat hits. Hat mir jemand einen Tip warum das nicht geht? bearbeitet 9. April 2014 von speer
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden