Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Cisco asa 5512 - Natowanie wewnątrz sieci lokalnej

17 Lip 2014 15:23 1347 11
  • Poziom 10  
    Czołem mam do Was pytanko.

    Konfiguruje właśnie Firewalla Cisco ASA 5505 i mam problem.

    Mam ustawione interfejsy:
    - inside (obsługa sieci wew.)
    - outside (interfejs ISP)
    - printers (obsługa drukarek)

    Ustawiłem routing do ISP

    A wewnątrz interfejsu inside mam router CISCO z którym łącze sie z siecią zewnętrzna X.
    Ustawiłem statyczny routing do tej sieci ustawiając jako bramę ip tego rutera który jest brzegiem sieci X.

    I teraz tak.
    Z konsoli routera spokojnie pinguje to co jest w sieci X, a komputery z interfejsu inside niestety nie mają światła na ta sieć

    Czy jest możliwy do ustawienia taki routing wewnątrz sieci i jak puścić do niej ruch komputerów skupionych w interfejsie inside.

    Kombinowałem już mocno ustawiając access-listy natowania różne, ale bezskutecznie.

    Często kombinacje powodowały wypadnięcie ISP

    Pozdrawiam
  • VIP Zasłużony dla elektroda
    Wklej tutaj routing jaki jest na asie.
  • Poziom 10  
    Gateway of last resort is XXX.XXX.XXX.XXX to network 0.0.0.0

    S 172.16.0.0 255.255.0.0 [1/0] via 172.21.192.254, inside - RUTING 1
    C 172.21.192.0 255.255.255.0 is directly connected, inside - siec wewnetrzna
    C XXX.XXX.XXX.XXX 255.255.255.248 is directly connected, outside- WAN
    C 10.10.2.0 255.255.255.0 is directly connected, printers - drugi interface drukarki
    S 10.0.0.0 255.0.0.0 [1/0] via 172.21.192.254, inside - RUTING 2
    S* 0.0.0.0 0.0.0.0 [1/0] via XXX.XXX.XXX.XXX, outside

    RUTING 1 i 2 to są te trasy ktore mi nie dzialaja
  • VIP Zasłużony dla elektroda
    Obstawiam, że wcześniej wpadają w NAT.

    Pokaż regułki dotyczące NAt'owania.
  • Poziom 10  
    object network obj_LAN1
    subnet 172.21.192.0 255.255.255.0


    object network obj_LAN1
    nat (inside,outside) dynamic interface

    Jak mi w tym pomożesz to lecimy na Piwko ;)
  • VIP Zasłużony dla elektroda
    Musisz wcześniej mieć regułę aby ruch do sieci 10.10.2.0/24 nie dostawał się do nat.

    Zaloguj się do ASDM - jest tam symulator Packet Tracer, który pokazuje jak pakiety przechodzą po kolei przez urządzenie.
  • Poziom 10  
    Czyli po chlopsku wyłączając interface printers o adresacji 10.10.2.0/24 wszystko powinno działać?

    A zmiana adresacji dałaby jakiś pozytywny rezultat?

    Jakby mógł ktoś poratować jakimiś wzorami wpisów byłbym wdzięczny. Pzdr
  • VIP Zasłużony dla elektroda
    Nie wyłączać interfejsu, tylko wykluczyć ruch do niego z NAT.

    Zamiana adresu podsieci nic nie zmieni.

    Testowałeś problem jak podałem ?
  • Poziom 10  
    A jakim wpisem wykluczyć ten interfejs z Natu?
    Będę testował w poniedziałek.
  • Pomocny post
    VIP Zasłużony dla elektroda
    Sprawdź czegoś w tym stylu

    nat (inside,outside) after-auto source dynamic acl_nat interface

    a acl_nat ustawisz jakie pakiety będa się łapać na NAT.
  • Poziom 10  
    Niestety w sofcie 8.6 nie moge wykonac takiego podlaczenia access-listy pod nat
    To tez komendy nie funkcjonuja.

    zawsze musze odwołać się do obiektu konkretnego.

    Moge dzibnąć tylko -> nat(inside,outside) after-auto source dynamic obj_LAN1(podsiec LANu1) interface

    Wtedy net działa tak jak działał -> ale niestety usługi na routingi 1 i 2 nie działaja.

    Coprawda mogę pingować dwa serwery dns po stronie tych routingow.

    Ale usług www stojących na serwerach w rutowanej podsieci nie idzie otworzyc.
  • Poziom 10  
    Udało się dzięki mbo.