Eu tenho um ASA5525-X com 9.1.2. Nele existem várias interfaces, mas principalmente eu estou olhando:
(sub-redes falsas)
- 10.0.0.0/24, nível de segurança 100
- fora de 10.0.200.0/24, nível de segurança 0
- DMZ 10.0.100.0/24, nível de segurança 50
Eu tenho um servidor DNS na DMZ, 10.0.100.1, que eu posso acessar de dentro sem problemas. No entanto, quero que ele apareça como 10.0.200.95 (não um IP real para este exemplo) para as pessoas na Internet. Eu tenho o que eu pensei que era necessário para que isso funcionasse, mas quando eu testo, os pacotes estão sendo descartados pela ACL padrão.
Partes pertinentes da configuração:
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.0.200.194 255.255.255.192
interface GigabitEthernet0/6
nameif DMZ
security-level 50
ip address 10.0.100.254 255.255.255.0
interface GigabitEthernet0/7
nameif inside
security-level 100
ip address 10.0.0.254 255.255.255.0
object network DMZ-DNS-Server-1
host 10.0.100.1
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
object network DMZ-DNS-Server-1
nat (DMZ,outside) static 10.0.200.195 net-to-net
nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface
access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain
access-group traffic-in-outside in interface outside
Alguma ideia?
Respostas:
Mude sua ACL para referenciar o endereço real do servidor (10.0.100.1) em vez do endereço traduzido (10.0.200.195). Essa é outra alteração no 8.3+. As ACLs correspondem em endereços reais.
fonte
Você precisará configurar um NAT estático para fazer isso, já que o 8.3+ mudou ligeiramente, em 9 você deseja fazer o seguinte:
fonte
packet-tracer
comando para emular um pacote passando pelo ASA para ver onde está falhando?