Як отримати доступ до свого внутрішнього сервера на зовнішній IP-адресі?


10

Ми намагаємося налаштувати наш Cisco 5505, і це було зроблено через ASDM.

Є одна велика проблема, яку ми не в змозі вирішити, і це коли ви переходите зсередини назовні і знову входите.

Наприклад, у нас є сервер "всередині", і ми хочемо мати можливість дістатися до цього сервера з однаковою адресою, якщо ми знаходимося з внутрішньої сторони або якщо ми знаходимось зовні.

Проблема полягає в додаванні правила, яке дозволить дорожній рух зсередини та зовні, а потім знову.


Ні в якому разі ми не зможемо допомогти вам з такою малою інформацією, ASA є складною, вам потрібен мережевий хлопець, щоб налаштувати це для вас, інакше він перестане працювати в найгірший можливий час, або ви зламаєтесь.
Chopper3

Поза темою: Вам слід поглянути на оновлення цього ASA до новішої версії програмного забезпечення, оскільки вся нова документація / інструкції написані для 8.x
pauska

pauska, ми подумали про це і спробували дістати найновішу прошивку, але зупинилися, оскільки це, здавалося, коштувало додатково, але, можливо, воно того варте!
Фор

Відповіді:


17

Брандмауер ASA не може маршрутизувати трафік. Вам потрібно замаскувати внутрішню адресу проти зовнішньої адреси.

Рішення 1: Лікування DNS зі статичним NAT

Скажімо, IP-адреса вашого зовнішнього веб-сайту 1.2.3.4, яка знову пересилається до порту (або безпосередньо NAT'ed) до внутрішньої IP-адреси 192.168.0.10. При лікуванні ДНС відбудеться таке:

  1. Клієнт із внутрішньої сторони запитує http://www.companyweb.com , що спочатку перекладається на 1.2.3.4
  2. ASA перехоплює пакет відповідей DNS і замінює запис A на 192.168.0.10
  3. Клієнт дуже задоволений, оскільки тепер може відкрити веб-сайт компанії :-)

Для отримання більш детальної інформації про те, як увімкнути це: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Рішення 2: Внутрішній DNS-сервер

Цей варіант корисний, якщо у вас є лише один зовнішній IP, і ви пересилаєте цей IP до багатьох внутрішніх сервісів на різних серверах (скажімо, порт 80 і 443 йде до 192.168.0.10, порт 25 переходить до 192.168.0.11 тощо).

Він не вимагає зміни конфігурації на ASA, але це вимагатиме від вас дублювати зовнішній домен на внутрішньому DNS-сервері (в Active Directory цей вбудований). Ви просто створюєте такі самі записи, як і зараз, лише за допомогою внутрішніх IP-адрес у службах, які ви маєте всередині країни.

"Рішення" 3: інтерфейс DMZ з відкритими IP-адресами

Я не збираюся детально описуватись на цьому, оскільки це вимагає, щоб ви отримали підмережу IP-адрес від вашого провайдера, спрямованого на ваш ASA. У наші дні дуже важко з голодом IPv4.


Приємна відповідь. +1
Карлос Гарсія

Дякую купу за гарну відповідь, я думаю, ми підемо за внутрішню систему dns. І розглядає можливість покупки поновлення на асі
Фор

1
Я зрозумів, що №1 чудово працює, якщо у мене є карта огляду DNS. На брандмауерах ASA, де у мене не було інспекційної карти, ця помилка (також fixup protocol dnsпрацює). Дякуємо, що змусили мене заглянути в це глибше.
ewwhite

3

Оскільки інші подібні запитання позначаються як дублікати із посиланням на тут, я хочу доповнити чудову відповідь @pauska 4-м варіантом.

Рішення 4: Маршрутизація трафіку за допомогою кріплення NAT

Дозволення повернення трафіку через інтерфейс на пристрої Cisco PIX / ASA, наприклад, коли клієнт nat: ed отримує доступ до серверу nat: ed через свій публічний ip, називається NAT Hairpinning від Cisco.

Він використовує по суті ті ж параметри конфігурації, що і звичайно для перенаправлення nat і портів, але з додаванням цієї команди:

same-security-traffic permit intra-interface

і друге статичне відображення для внутрішнього трафіку на сервер:

static(inside,inside) i.i.i.i x.x.x.x

Це детально описано разом із прикладом конфігурації для дизайну двох інтерфейсів: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

Ось альтернатива NAT призначення для дизайну трьох інтерфейсів: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2


1

Ви не можете отримати доступ до зовнішнього інтерфейсу на Pix / ASA зсередини. Ви повинні перенаправити запити DNS для зовнішньої адреси сервера на внутрішню адресу.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.