Як отримати доступ до свого внутрішнього сервера на зовнішній IP-адресі?

Ми намагаємося налаштувати наш Cisco 5505, і це було зроблено через ASDM.

Є одна велика проблема, яку ми не в змозі вирішити, і це коли ви переходите зсередини назовні і знову входите.

Наприклад, у нас є сервер "всередині", і ми хочемо мати можливість дістатися до цього сервера з однаковою адресою, якщо ми знаходимося з внутрішньої сторони або якщо ми знаходимось зовні.

Проблема полягає в додаванні правила, яке дозволить дорожній рух зсередини та зовні, а потім знову.

Брандмауер ASA не може маршрутизувати трафік. Вам потрібно замаскувати внутрішню адресу проти зовнішньої адреси.

Рішення 1: Лікування DNS зі статичним NAT

Скажімо, IP-адреса вашого зовнішнього веб-сайту 1.2.3.4, яка знову пересилається до порту (або безпосередньо NAT'ed) до внутрішньої IP-адреси 192.168.0.10. При лікуванні ДНС відбудеться таке:

1. Клієнт із внутрішньої сторони запитує http://www.companyweb.com , що спочатку перекладається на 1.2.3.4
2. ASA перехоплює пакет відповідей DNS і замінює запис A на 192.168.0.10
3. Клієнт дуже задоволений, оскільки тепер може відкрити веб-сайт компанії :-)

Для отримання більш детальної інформації про те, як увімкнути це: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Рішення 2: Внутрішній DNS-сервер

Цей варіант корисний, якщо у вас є лише один зовнішній IP, і ви пересилаєте цей IP до багатьох внутрішніх сервісів на різних серверах (скажімо, порт 80 і 443 йде до 192.168.0.10, порт 25 переходить до 192.168.0.11 тощо).

Він не вимагає зміни конфігурації на ASA, але це вимагатиме від вас дублювати зовнішній домен на внутрішньому DNS-сервері (в Active Directory цей вбудований). Ви просто створюєте такі самі записи, як і зараз, лише за допомогою внутрішніх IP-адрес у службах, які ви маєте всередині країни.

"Рішення" 3: інтерфейс DMZ з відкритими IP-адресами

Я не збираюся детально описуватись на цьому, оскільки це вимагає, щоб ви отримали підмережу IP-адрес від вашого провайдера, спрямованого на ваш ASA. У наші дні дуже важко з голодом IPv4.

Оскільки інші подібні запитання позначаються як дублікати із посиланням на тут, я хочу доповнити чудову відповідь @pauska 4-м варіантом.

Рішення 4: Маршрутизація трафіку за допомогою кріплення NAT

Дозволення повернення трафіку через інтерфейс на пристрої Cisco PIX / ASA, наприклад, коли клієнт nat: ed отримує доступ до серверу nat: ed через свій публічний ip, називається NAT Hairpinning від Cisco.

Він використовує по суті ті ж параметри конфігурації, що і звичайно для перенаправлення nat і портів, але з додаванням цієї команди:

same-security-traffic permit intra-interface

і друге статичне відображення для внутрішнього трафіку на сервер:

static(inside,inside) i.i.i.i x.x.x.x

Це детально описано разом із прикладом конфігурації для дизайну двох інтерфейсів: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

Ось альтернатива NAT призначення для дизайну трьох інтерфейсів: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

Ви не можете отримати доступ до зовнішнього інтерфейсу на Pix / ASA зсередини. Ви повинні перенаправити запити DNS для зовнішньої адреси сервера на внутрішню адресу.