Главная » Техника

Asa cisco не работает nat

Содержание
  1. Asa cisco не работает nat
  2. Не работает NAT на ASA 5525 9.1.1
  3. Не работает Nat Cisco
  4. Базовая настройка NAT на ASA: Веб-сервер в DMZ в ASA, начиная с версии 8.3
  5. Параметры загрузки
  6. Об этом переводе
  7. Содержание
  8. Введение
  9. Предварительные условия
  10. Требования
  11. Используемые компоненты
  12. Обзор
  13. Обзор списка контроля доступа
  14. Обзор NAT
  15. Настройка
  16. Начать работу
  17. Топология
  18. Шаг 1. Настройка NAT для разрешения выхода хостов в Интернет
  19. Шаг 2. Настройка NAT для доступа к веб-серверу из Интернета
  20. Шаг 3. Настройка списков ACL
  21. Шаг 4. Тестирование конфигурации с помощью функции трассировщика пакетов
  22. Проверка
  23. Устранение неполадок
  24. Заключение

Asa cisco не работает nat

Сообщения без ответов | Активные темы Текущее время: 19 окт 2021, 21:43

Часовой пояс: UTC + 3 часа

Не работает NAT на ASA 5525 9.1.1

Страница 1 из 1 [ Сообщений: 15 ]
Версия для печати Пред. тема | След. тема

Здравствуйте!
Имеется ASA 5525 FW: 9.1.1
Сеть внутренняя 10.43.7.240/28
Сеть провайдера XX.XX.181.208/28

Интерфейсы АСЫ
Внутренний (inside) 10.43.7.247
Внешний (internet) XX.YY.181.211

на внутреннем inside находится почтовый сервак (mail.domain.ru) 10.43.7.242

Проблема в том, что mail сервер почту на внешние адреса отправляет благополучно, а вот на него почта внешняя не идет.
При текущих настройках снаружи 25 (smtp) порт закрыт (телнетом не цепляется).
Настройки делал аналогично старой асе 5520 FW:8.2.
Может кто посоветовать, что я не так сделал?

ага, нат перенастроить
object network mailserver
nat (inside,internet) static interface service smtp smtp

один object network = одно правило ната

делал так уже:
object network mail.domain.ru
nat (inside,internet) static interface service tcp smtp smtp

Добрый день! Курю манулы ничего не помогает, либо я уже глаз себе замылил. настройка зашла в тупик.
Не работает ни один НАТ.

Тут задействованные интерфейсы

Вот тут описал объекты

команда sh nat det

ROOT-ASA# sh nat detail

Auto NAT Policies (Section 2)
1 (dmz) to (outside) source static OWA OWA_OUTSIDE service tcp https https
translate_hits = 0, untranslate_hits = 0
Source — Origin: 10.255.255.2/32, Translated: xx.xx.115.245/32
Service — Protocol: tcp Real: https Mapped: https
2 (dmz) to (outside) source static EDGE EDGE_OUT service tcp smtp smtp
translate_hits = 0, untranslate_hits = 300
Source — Origin: 10.255.255.3/32, Translated: xx.xx.115.252/32
Service — Protocol: tcp Real: smtp Mapped: smtp
3 (dmz) to (outside) source static GLONASS GLONASS_OUT service tcp 8000 8000
translate_hits = 0, untranslate_hits = 2882
Source — Origin: 10.255.255.4/32, Translated: xx.xx.115.253/32
Service — Protocol: tcp Real: 8000 Mapped: 8000
4 (dmz) to (outside) source static TERMINAL TERMINAL_OUT service tcp 3389 3389
translate_hits = 0, untranslate_hits = 18
Source — Origin: 10.255.255.7/32, Translated: xx.xx.115.254/32
Service — Protocol: tcp Real: 3389 Mapped: 3389
5 (inside) to (dmz) source static TMG OWA service tcp https https
translate_hits = 0, untranslate_hits = 0
Source — Origin: 172.20.68.245/32, Translated: 10.255.255.2/32
Service — Protocol: tcp Real: https Mapped: https
6 (dmz) to (outside) source dynamic DMZ interface
translate_hits = 101, untranslate_hits = 4
Source — Origin: 10.255.255.0/27, Translated: xx.xx.115.242/28
7 (inside) to (outside) source dynamic GUEST_INET interface
translate_hits = 701, untranslate_hits = 19
Source — Origin: 10.1.7.0/24, Translated: xx.xx.115.242/28
8 (inside) to (outside) source dynamic TEPLOSET interface
translate_hits = 63290, untranslate_hits = 34063
Source — Origin: 172.20.68.0/22, Translated: xx.xx.115.242/28

Не работает ни почта, ни OWA ни терминал. Есть мысли как исправить сие? С новой версией IOS знаком мало. на старом настроено было немного по-другому, если надо — могу выложить.

Причину большинства проблем с NAT’ом я вижу в том, что в одну NAT-группу запихивают и основное правило NAT’а и исключения из него.

Изменения в 8.2+ дали четко сформулированную последовательность обработки групп. Конечно же есть приоритеты обработки строк и внутри группы, но с ними «без стакана не разберешься», да и зачем пытаться в них разобраться в таких простых ситуациях?

Оставляйте все основные правила NAT’а (динамические) как есть (группа Object NAT), а все исключения (статика) перенесите в группу Manual NAT ну и переделайте их соответствующим образом.

Напомню, порядок обработки «групп» NAT’а:
— Manual NAT
— Object NAT
— After-Object NAT

Источник

Не работает Nat Cisco

Доброго времени суток!

Столкнулся с проблемой . Не работает NAT, хотя настроил ( по идее ) все правильно.
Проверяю через 101 сетку, по идее NAT не должен пропускать ICMP запроси, но он пропускает.
Гляньте конфиги, может что-то не так настроил )
Конфиг:

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Маршрутизация на Cisco — не работает двойной NAT/PAT
Ситуация следующая: -офисная сеть 192.168.1.0/24 -роутер Cisco 1841, смотрящий одним интерфейсом.

Не работает OSPF после настройки NAT (Cisco Packet Tracer 5.3.1)
Добрый вечер, джентльмены. Во время настройки динамической NAT на 2-м роутере при уже настроенном.

Cisco NAT
Подскажите, может где ошибся или не правильно настроил. Настраиваю NAT на маршрутизаторе в GNS.

Cisco 881 и NAT
Доброго времени суток. Получил 881 кошку. Проблемма следующая рррое конектиться (с циски пинги.

Cisco 881 nat
Доброго времени суток! Ребята, сразу оговорюсь я не специалист, обращаюсь к вам за помощью по.

Cisco ASA NAT
Привет всем! У меня проблема, не происходит NAT серверов из inside в outside. История: Имеются.

Cisco ASA, NAT
Добрый день, Что означает такая конструкция (см.картинку) и где\как ее можно использовать? Я.

Nat cisco 800
Здравствуйте друзья. Нуждаюсь в вашей помощи ,по вопросу настройке nat на маршрутизаторе cisco 800 .

Настройка NAT (CISCO)
Здравствуйте, решил изучать Циску, и придумал себе задачу, спроектировать простенькую сеть на 100.

Cisco 1921 IP NAT
Привет всем! Столкнулся со следующей проблемой: имеется маршрутизатор Cisco 1921 с прошивкой.

Источник

Базовая настройка NAT на ASA: Веб-сервер в DMZ в ASA, начиная с версии 8.3

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

Этот документ содержит простой пример настройки трансляции сетевых адресов (NAT) и списков контроля доступа (ACL) на межсетевом экране ASA для разрешения исходящих, а также входящих подключений. В этом документе описывается межсетевой экран с устройством адаптивной защиты (ASA) 5510, на котором работает версия кода ASA 9.1(1), но его можно легко применить к любой другой платформе межсетевого экрана ASA. Если используется платформа вроде ASA 5505, где используется VLAN вместо физического интерфейса, то необходимо соответствующим образом изменить типы интерфейсов.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Содержащееся в этом документе описание построено на примере межсетевого экрана ASA 5510, на котором работает код ASA версии 9.1(1).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Обзор

В конфигурации данного примера можно рассмотреть, какая конфигурация NAT и ACL будет необходима для того, чтобы разрешить входящий доступ веб-серверу в DMZ межсетевого экрана ASA, а также разрешить исходящее подключение с внутренних хостов и хостов DMZ. Это можно свести к двум целям:

  1. Разрешить хостам с внутренней стороны и в DMZ исходящее подключение к Интернету.
  2. Разрешить хостам в Интернете доступ к веб-серверу в DMZ с IP-адресом 192.168.1.100.

Прежде чем перейти к шагам, которые необходимо выполнить для достижения этих двух целей, в этом документе приводится краткий обзор способов работы списков ACL и NAT на более новых версиях кода ASA (версия 8.3 и более поздние).

Обзор списка контроля доступа

Списки контроля доступа (сокращенно «списки доступа» или ACL) являются методом, которым межсетевой экран ASA определяет, является ли трафик разрешенным или запрещенным. По умолчанию трафик, который проходит от более низкого к более высокому уровню безопасности, запрещен. Это можно переопределить в ACL, примененном к соответствующему интерфейсу безопасности нижнего уровня. Также ASA по умолчанию разрешает трафик от интерфейсов с более высоким к интерфейсам с более низким уровнем безопасности. Это поведение можно также переопределить в ACL.

В более ранних версиях кода ASA (8.2 и ранее) ASA сравнивал входящее подключение или пакет со списком ACL на интерфейсе, не отменяя сначала трансляцию пакета. Другими словами, ACL должен был разрешить пакет, как если бы требовалось перехватить этот пакет на интерфейсе. В коде версии 8.3 и более поздних версий ASA не преобразовывает пакет до проверки списков ACL интерфейса. Это означает, что для кода версии 8.3 и более поздних версий, как и в этом документе, разрешается трафик на реальный IP-адрес хоста, а не транслированный.

Обзор NAT

NAT на ASA в версии 8.3 и более поздних разделяется на два типа, известные как автоматическая NAT (Object NAT) и ручная NAT (Twice NAT). Первая из них, Object NAT, настраивается в определении сетевого объекта. Пример этого представлен далее в этом документе. Одно основное преимущество этого метода NAT состоит в том, что ASA автоматически упорядочивает правила для обработки, во избежание конфликтов. Это самая простая форма NAT, но с ней связано ограничение на глубину детализации конфигурации. Например, нельзя принять решение о трансляции на основе назначения в пакете, как можно сделать с помощью второго типа NAT — ручной NAT. Ручная NAT обеспечивает более глубокую детализацию, но требует настройки линий в правильном порядке, чтобы можно было добиться правильной работы. Это делает данный тип NAT сложнее, из-за чего он не будет использоваться в этом примере конфигурации.

Настройка

Начать работу

Базовая конфигурация ASA — это три интерфейса, связанных с тремя сегментами сети. Сегмент сети ISP подключен к интерфейсу Ethernet0/0 и маркирован outside с уровнем безопасности 0. Внутренняя сеть подключена к Ethernet0/1 и маркирована как inside с уровнем безопасности 100. Сегмент DMZ, где располагается веб-сервер, подключен к Ethernet0/2 и маркирован как DMZ с уровнем безопасности 50.

Конфигурация интерфейса и IP-адреса для примера показаны здесь:

Здесь можно видеть, что интерфейс ASA inside установлен с IP-адресом 192.168.0.1, и это шлюз по умолчанию для внутренних хостов. Интерфейс ASA inside настроен с IP-адресом, полученным от интернет-провайдера. Установлен маршрут по умолчанию, который задает следующий переход на шлюз интернет-провайдера. При использовании DHCP это выполняется автоматически. Интерфейс DMZ настроен с IP-адресом 192.168.1.1, и это шлюз по умолчанию для хостов на сегменте сети DMZ.

Топология

Вот наглядная схема прокладки кабелей и конфигурации:

Шаг 1. Настройка NAT для разрешения выхода хостов в Интернет

В этом примере используется Object NAT, называемая также AutoNAT. Первое, что необходимо настроить, — правила NAT, разрешающие хостам в сегментах inside и DMZ подключаться к Интернету. Поскольку эти хосты используют частные IP-адреса, необходимо преобразовать их в такие адреса, которые маршрутизируются в Интернете. В данном случае преобразуйте адреса так, чтобы они были похожи на IP-адрес интерфейса ASA outside. Если ваш внешний IP часто изменяется (возможно, из-за DHCP), то это самый прямой способ настройки.

Для настройки такой NAT необходимо создать сетевой объект, представляющий подсеть inside, а также объект, представляющий подсеть DMZ. В каждом из этих объектов настройте правило динамического преобразования сетевых адресов, которое будет выполнять трансляцию адресов портов (PAT) этих клиентов, поскольку они проходят от соответствующих интерфейсов к интерфейсу outside.

Эта конфигурация выглядит примерно так:

При рассмотрении рабочей конфигурации на этом этапе (с выводом команды show run) будет видно, что определение объекта разделено на две части выходных данных. Первая часть только указывает на то, что находится в объекте (хост/подсеть, IP-адрес и т. д.), в то время как второй раздел показывает, что правило NAT связало с этим объектом. Если взять первую запись из предыдущих выходных данных, произойдет следующее:

Когда хосты, которые соответствуют подсети 192.168.0.0/24, проходят от интерфейса inside к интерфейсу outside, вам требуется динамично транслировать их в интерфейс outside.

Шаг 2. Настройка NAT для доступа к веб-серверу из Интернета

Теперь, когда хосты на интерфейсах inside и DMZ могут выходить в Интернет, необходимо изменить конфигурацию так, чтобы пользователи в Интернете могли обращаться к нашему веб-серверу через порт TCP 80. В данном примере настройка состоит в том, чтобы пользователи Интернета могли подключаться к другому IP-адресу, предоставленному интернет-провайдером, — дополнительному IP-адресу, которым мы владеем. Для данного примера используйте адрес 198.51.100.101. С этой конфигурацией пользователи Интернета смогут получить доступ к веб-серверу DMZ путем обращения к адресу 198.51.100.101 через порт TCP 80. Используйте в этой задаче Object NAT, и ASA преобразует порт TCP 80 на веб-сервере (192.168.1.100) так, чтобы он выглядел подобно 198.51.100.101 на порту TCP 80 на интерфейсе outside. Как и в прошлый раз, определите объект и задайте правила трансляции для того объекта. Кроме того, определите второй объект для представления IP-адреса, в который будет транслироваться данный хост.

Эта конфигурация выглядит примерно так:

Подытожим, что означает это правило NAT в данном примере:

Когда хост, который соответствует IP-адресу 192.168.1.100 на сегментах DMZ, устанавливает соединение, полученное от порта TCP 80 (www), и это соединение выходит через интерфейс outside, вам требуется преобразовать его в порт TCP 80 (www) на интерфейсе outside и преобразовать этот IP-адрес в 198.51.100.101.

Выражение «полученный от порта TCP 80 (www)» кажется немного странным, но веб-трафик предназначается для порта 80. Важно понять, что эти правила NAT являются двунаправленными по своей природе. В результате можно зеркально отразить формулировку для перефразирования этого предложения. Результат имеет намного больше смысла:

Когда хосты на интерфейсе outside устанавливают подключение к 198.51.100.101 на порту TCP 80 (www) назначения, вы преобразуете IP-адрес назначения в 192.168.1.100, а портом назначения будет TCP 80 (www), и отправите его во внешнюю среду из DMZ.

В такой формулировке это имеет больше смысла. Затем необходимо настроить списки ACL.

Шаг 3. Настройка списков ACL

NAT настроена, уже недалеко осталось до завершения конфигурации. Помните, что списки ACL на ASA позволяют переопределить поведение системы безопасности по умолчанию, которое является следующим:

  • Трафик, который идет от интерфейса с более низким уровнем безопасности, запрещается, когда он переходит к интерфейсу с более высоким уровнем безопасности.
  • Трафик, который идет от интерфейса с более высоким уровнем безопасности, разрешается, когда он переходит к интерфейсу с более низким уровнем безопасности.

Таким образом, без добавления списков ACL в конфигурацию этот трафик в примере работает:

  • Хосты на интерфейсе inside (уровень безопасности 100) могут подключаться к хостам на интерфейсе DMZ (уровень безопасности 50).
  • Хосты на интерфейсе inside (уровень безопасности 100) могут подключаться к хостам на интерфейсе outside (уровень безопасности 0).
  • Хосты на интерфейсе DMZ (уровень безопасности 50) могут подключаться к хостам на интерфейсе outside (уровень безопасности 0).

Однако следующий трафик будет запрещен:

  • Хосты на интерфейсе outside (уровень безопасности 0) не смогут подключаться к хостам на интерфейсе inside (уровень безопасности 100).
  • Хосты на интерфейсе outside (уровень безопасности 0) не смогут подключаться к хостам на интерфейсе DMZ (уровень безопасности 50).
  • Хосты на интерфейсе DMZ (уровень безопасности 50) не смогут подключаться к хостам на интерфейсе inside (уровень безопасности 100).

Поскольку трафик от outside к DMZ запрещен ASA в текущей конфигурации, пользователи в Интернете не смогут получить доступ к веб-серверу, несмотря на конфигурацию NAT на шаге 2. Необходимо явно разрешить этот трафик. В коде версии 8.3 и более поздних необходимо использовать реальный IP-адрес хоста в ACL, а не преобразованный IP-адрес. Это означает, что конфигурации нужно разрешать трафик, предназначенный для адреса 192.168.1.100, а НЕ трафик, предназначенный для адреса 198.51.100.101 на порту 80. Для простоты объекты, определенные в шаге 2, будут также использоваться для этого ACL. Как только ACL создан, необходимо применить его к входящему трафику на внешнем интерфейсе.

Вот как выглядят команды настройки:

Состояния строк списка доступа:

Разрешить трафик от any (где) к хосту, представленному объектом webserver (192.168.1.100) на порту 80.

Важно, чтобы в конфигурации здесь использовалось ключевое слово any (любой). Поскольку IP-адрес источника клиентов неизвестен при его поступлении на ваш веб-сайт, укажите любое значение Any IP address (Любой IP-адрес).

Как насчет трафика от сегмента DMZ, предназначенного для хостов на сегменте сети inside? Например, сервер в сети inside, к которому требуется подключаться хостам из DMZ. Как ASA может разрешать только определенный трафик, предназначенный для сервера inside, и блокировать все остальное, предназначенное для сегмента inside из DMZ?

В данном примере предполагается, что существует сервер DNS во внутренней сети по IP-адресу 192.168.0.53, к которому хостам из DMZ требуется доступ для разрешения DNS. Вы создаете необходимый ACL и применяете его к интерфейсу DMZ таким образом, чтобы ASA мог переопределить поведение системы безопасности по умолчанию, упомянутое ранее, для трафика, который входит на этот интерфейс.

Вот как выглядят команды настройки:

ACL сложнее, чем простое разрешение трафика к серверу DNS на порт UDP 53. Если бы мы реализовали только первую строку permit (разрешить), то весь трафик из DMZ к хостам в Интернете блокировалось бы. В конце списков ACL неявно задается настройка deny ip any any. В результате ваши хосты DMZ не могли бы выйти в Интернет. Даже при том, что трафик от DMZ к outside разрешен по умолчанию, с применением ACL к интерфейсу DMZ такое поведение системы безопасности по умолчанию для интерфейса DMZ больше не действует, и необходимо явно разрешить трафик в ACL интерфейса.

Шаг 4. Тестирование конфигурации с помощью функции трассировщика пакетов

Теперь, когда конфигурация завершена, необходимо протестировать ее, чтобы удостовериться, что она работает. Самый простой способ — использовать действующие хосты (если это ваша сеть). Однако в интересах тестирования из интерфейса командной строки и дальнейшего исследования некоторых программных средств ASA используйте трассировщик пакетов, чтобы протестировать и потенциально отладить любые возможные проблемы.

Трассировщик пакетов работает путем моделирования пакета на основе серии параметров и внедрения этого пакета в канал передачи данных интерфейс, подобно способу, которым внедрялся бы реальный пакет в случае снятия с канала. Этот пакет следует через большое число проверок и процессов, которые выполняются по мере его прохождения через межсетевой экран, и трассировщик пакетов фиксирует результат. Моделируйте внутренний хост, выходящий на хост в Интернете. Приведенная ниже команда сообщает межсетевому экрану сделать следующее:

Моделировать пакет TCP, поступающий в интерфейс inside с IP-адреса 192.168.0.125 на порту источника 12345 и предназначенный для IP-адреса 203.0.113.1 на порту 80.

Конечным результатом является то, что трафик разрешается, то есть он прошел все проверки NAT и ACL в конфигурации и был отправлен из исходящего интерфейса — outside. Обратите внимание на то, что пакет был преобразован в фазе 3 и подробные сведения об этой фазе показывают, какое правило задействовано. Хост 192.168.0.125 динамически преобразуется в 198.51.100.100 согласно конфигурации.

Теперь запустите ее для подключения из Интернета к веб-серверу. Помните, хосты в Интернете обращаются к веб-серверу путем подключения к 198.51.100.101 на интерфейсе outside. Опять же, эта следующая команда преобразовывается в следующее:

Моделировать пакет TCP, поступающий в интерфейс outside с IP-адреса 192.0.2.123 на порту источника 12345 и предназначенный для IP-адреса 198.51.100.101 на порту 80.

Опять же, результат состоит в том, что пакет разрешается. Проверки ACL пройдены, конфигурация выглядит хорошо, и пользователи в Интернете (outside) должны быть в состоянии обратиться к данному веб-серверу с помощью внешнего IP-адреса.

Проверка

Процедуры проверки включены в Шаг 4. Тестирование конфигурации с функцией трассировщика пакетов.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Заключение

Настройка ASA для выполнения базовой NAT — не такая сложная задача. Приведенный в этом документе пример можно адаптировать к конкретному сценарию, если изменить IP-адреса и порты, используемые в примерах конфигурации. Окончательная конфигурация ASA при сочетании всего этого выглядит примерно так для ASA 5510:

На ASA 5505, например, с интерфейсами, подключенными, как показано ранее (outside подключен к Ethernet0/0, inside к Ethernet0/1, а DMZ к Ethernet0/2):

Источник

Читайте также:  Canon eos m50 как правильно настроить
Оцените статью
© 2024 Настройка и ремонт техники