Jak mogę uzyskać dostęp do mojego wewnętrznego serwera na zewnętrznym adresie IP?

10

Próbujemy skonfigurować Cisco 5505 i zostało to wykonane za pośrednictwem ASDM.

Jest jeden duży problem, którego nie jesteśmy w stanie rozwiązać, i wtedy przechodzisz od środka na zewnątrz i wracasz.

Przykład: mamy serwer „wewnątrz” i chcemy mieć dostęp do tego serwera z tym samym adresem, jeśli jesteśmy w środku lub jeśli jesteśmy na zewnątrz.

Problem polega na dodaniu reguły, która zezwoli na ruch z wewnątrz na zewnątrz, a następnie z powrotem.

Dziobowy
źródło
Nie ma sposobu, abyśmy mogli ci pomóc z tak małą ilością informacji, ASA są złożone, potrzebujesz faceta z sieci, aby skonfigurować to dla ciebie, inaczej przestanie działać w najgorszym możliwym czasie lub zostaniesz zhakowany.
Chopper3
Poza tematem: Powinieneś rozważyć aktualizację tego ASA do nowszej wersji oprogramowania, ponieważ cała nowa dokumentacja / instrukcje są napisane dla wersji 8.x
pauska
pauska, pomyśleliśmy o tym i próbowaliśmy zdobyć najnowsze oprogramowanie, ale przestaliśmy, bo wydawało się, że to kosztuje, ale może warto!
Przed

Odpowiedzi:

17

Zapora ASA nie może kierować ruchu. Musisz zamaskować adres wewnętrzny z adresem zewnętrznym.

Rozwiązanie 1: Sprawdzanie DNS ze statycznym NAT

Załóżmy, że Twój adres IP zewnętrznej witryny to 1.2.3.4, który następnie jest przekierowywany do portu (lub bezpośrednio NAT'owany) na wewnętrzny adres IP 192.168.0.10. W przypadku dokowania DNS będą miały miejsce następujące zdarzenia:

  1. Klient wewnątrz żąda http://www.companyweb.com , co pierwotnie przekłada się na 1.2.3.4
  2. ASA przechwytuje pakiet odpowiedzi DNS i zastępuje rekord A 192.168.0.10
  3. Klient bardzo się cieszy, ponieważ może teraz otworzyć stronę internetową firmy :-)

Aby uzyskać bardziej szczegółowe informacje o tym, jak to włączyć: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Rozwiązanie 2: Wewnętrzny serwer DNS

Ten jest przydatny, jeśli masz tylko jeden zewnętrzny adres IP i przekierujesz ten adres IP do wielu usług wewnętrznych na różnych serwerach (powiedzmy, że port 80 i 443 ma adres 192.168.0.10, port 25 to 192.168.0.11 itd.).

Nie wymaga zmiany konfiguracji ASA, ale będzie wymagać zduplikowania domeny zewnętrznej na wewnętrznym serwerze DNS (usługa Active Directory ma to wbudowane). Po prostu tworzysz dokładnie te same rekordy, co teraz, tylko z wewnętrznymi adresami IP w usługach, które masz wewnętrznie.

„Rozwiązanie” 3: Interfejs DMZ z publicznymi adresami IP

Nie zamierzam wdawać się w wiele szczegółów na ten temat, ponieważ wymaga to podsieci adresów IP od usługodawcy internetowego kierowanej do ASA. W dzisiejszych czasach z głodem IPv4 jest bardzo ciężko.

Pauska
źródło
Niezła odpowiedź. +1
Carlos Garcia
Wielkie dzięki za miłą odpowiedź, myślę, że pójdziemy po wewnętrzny system dns. I rozważam zakup aktualizacji na asa
Fore
1
Zauważyłem, że nr 1 działa świetnie, jeśli mam mapę inspekcji DNS. W zaporach ASA, w których nie miałem mapy inspekcji, to się nie udawało (również fixup protocol dnsdziała). Dzięki, że mogłem zajrzeć głębiej.
ewwhite
3

Ponieważ inne podobne pytania są oznaczone jako duplikaty z odniesieniem do tutaj, chciałbym uzupełnić doskonałą odpowiedź @pauska o 4. opcję.

Rozwiązanie 4: Kierowanie ruchem przez NAT Hairpinning

Zezwolenie na ruch z powrotem przez interfejs urządzenia Cisco PIX / ASA, na przykład gdy klient nat: ed uzyskuje dostęp do serwera nat: ed za pośrednictwem swojego publicznego adresu IP, nazywa się Cisco NAT Hairpinning.

Używa zasadniczo takich samych parametrów konfiguracyjnych jak zwykle dla nat i przekierowania portów, ale z dodatkiem tego polecenia:

same-security-traffic permit intra-interface

oraz drugie mapowanie statyczne dla ruchu wewnątrz-do-serwera:

static(inside,inside) i.i.i.i x.x.x.x

Jest to szczegółowo opisane wraz z przykładem konfiguracji tutaj dla projektu z dwoma interfejsami: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

I tutaj jest docelowa alternatywa NAT dla projektu z trzema interfejsami: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

ErikE
źródło
1

Nie możesz uzyskać dostępu do zewnętrznego interfejsu Pix / ASA od wewnątrz. Należy przekierować żądania DNS dotyczące zewnętrznego adresu serwera na adres wewnętrzny.

ewwhite
źródło