|
ASA 5510 перенаправление трафика, замена адресов
Автор |
Сообщение |
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
Добрый день. Поискал по форуму, ответы есть, но все какие-то не мои. Там кусочек, тут кусочек. Вопросов несколько. Начну от простого к сложному. Дано: "Локальная сеть 1" 192.168.1.0 с выходом в интернет и белым IP 92.92.92.92. "Локальная сеть 2" 192.168.2.0 с выходом в интернет и белым IP 89.89.89.89. "Локальная сеть 3" 192.168.3.0 с выходом в интернет через asa 5510 (8.6(1)) и белым IP 94.94.94.94, содержащая сервер 192.168.3.2. "Локальная сеть 4" 192.168.0.0 с выходом в интернет и белым IP 77.77.77.77, содержащая сервер 192.168.0.2 Задание: При обращении из "Локальной сети 1" и "Локальной сети 2" на адрес 94.94.94.94, пользователи "Локальной сети 1" попадали на сервер 192.168.3.2, а ВСЕ пользователи "Локальной сети 2" попадали на сервер 192.168.0.2. Вопрос: Как настроить asa 5510 (8.6)?
Посложнее: все тоже самое, но только ЧАСТЬ пользователей "Локальной сети 2" попадали на сервер 192.168.0.2, а остальные так же как и пользователи "Локальной сети 1" попадали на сервер 192.168.3.2. В этом случае наверное необходимо туннелирование. Вопрос тот же: Как настроить asa 5510 (8.6)?
|
02 окт 2015, 10:23 |
|
|
GopherZ
Зарегистрирован: 28 мар 2014, 16:05 Сообщения: 90
|
Жара! =) На тему простой части: Если речь о Web серверах, то самый простой вариант сделать на сервере 94.94.94.94 (он же за НАТом 192.168.3.2) редирект на 77.77.77.77 (он же за НАТом 192.168.0.2) для сорс ip 89.89.89.89.
Если речь не о web, и технология не имеет функций редиректа, то нужен туннель между LAN 3 и 4. А дальше рулить НАТом на ASA.
Для варианта "посложнее" потребуется туннель между LAN 2 и 3 и помудрить с НАТом чуть посильнее...
Я правильно понимаю, что вы еще и от независимого DNS зависите, например Google?
|
02 окт 2015, 10:54 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
Редирект с помощью сервера возможен, но хотелось бы именно организовать на asa (сервер может выйти из строя его могут менять или просто перезагрузить и т.д.) .Речь почти о WEB серверах (1С). Между lan3 и lan4 туннель не поднять. т.к. lan4 развернута в ЦОД (виртуальные машины, виртуальное пограничное устройство, говорят, что скоро вроде как собираются такую функцию ввести, но пока нет). Туннель между lan2 и lan3, а так же между lan1 и lan3 есть (ipsec), и пользователи lan1 и lan2 видят и работают на сервере (за НАТом 192.168.3.2) обращаясь напрямую к 192.168.3.2 . Необходимо, что бы часть пользователей lan2, при тех же локальных настройках (назовем их универсальные для всех пользователей - обращение к 94.94.94.94) обращалась к серверу в lan4 - 192.168.0.2 . А остальные при тех же настройках к серверу lan3 - 192.168.3.2 .
|
02 окт 2015, 11:34 |
|
|
xeonz
Зарегистрирован: 11 окт 2013, 16:25 Сообщения: 148
|
Mikhail72 писал(а): Задание: При обращении из "Локальной сети 1" и "Локальной сети 2" на адрес 94.94.94.94, пользователи "Локальной сети 1" попадали на сервер 192.168.3.2, а ВСЕ пользователи "Локальной сети 2" попадали на сервер 192.168.0.2. Вопрос: Как настроить asa 5510 (8.6)?
Сам так не делал, но в качестве идеи - на аса включить same-security-traffic permit intra-interface и далее организовать проброс трафика до 77.77.77.77 при условии source ip = 89.89.89.89 с одновременной заменой source адреса на 94.94.94.94. (на 77.77.77.77 естественно проброс до 192.168.0.2).
|
02 окт 2015, 12:34 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Вы бы схемку нарисовали, а то как то на пальцах трудно понять. Если я правильно понял, то у Вас в ЦОД туннеля нет и вам надо делать подмену адресов? Типа бежим на локальный, а подключемся к белому?
|
02 окт 2015, 12:48 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
xeonz
Да, по первому вопросу идея такая, сейчас почитаю о "same-security-traffic permit intra-interface" и как правильно написать проброс в ASA используя не интерфейс, а командную строку.
AlexSashkaff
Рисуночек сейчас организуем)
|
02 окт 2015, 13:39 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
Да, поняли правильно "в ЦОД туннеля нет и вам надо делать подмену адресов? Типа бежим на локальный, а подключемся к белому"
Представляю вашему вниманию 3 схемы. Схема 1(черно-красная) - как организовано сейчас Схема 2(черно-сине-зеленая) - простой вариант в котором я хочу разобраться Схема 3(черно-красно-синяя) - это как хотелось бы. Вижу два варианта самый простой - редирект на сервере 192.168.3.2. Сложный - с помощью ASA, но здесь наверное надо организовывать два разных пула адресов для VPN соединений привязывать к ним адреса из сети 192.168.2.0 (каждый к своему пулу), а затем направлять одну часть на сервер 192.168.3.2, а вторую снова в интернет на адрес 77.77.77.77 и далее на сервер 192.168.0.2 . Как- то очень витиевато получилось. Ну может кто знает и зарядка для мозгов)
|
02 окт 2015, 15:34 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
Не могу прикрепить файл. дожил. Рисунок всего 11 Кб. формат .gif что надо-то еще?
|
02 окт 2015, 15:52 |
|
|
xeonz
Зарегистрирован: 11 окт 2013, 16:25 Сообщения: 148
|
Выложи на хостинг картинок и вставь через img тэги.
|
02 окт 2015, 16:35 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
|
03 окт 2015, 15:50 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
Добрый день.
Есть какие-нибудь мысли? хотя бы по Схеме номер 2, где необходимо, что бы пользователи из Lan2 (192.168.2.0) обратившись на адрес 94.94.94.94 (адрес ottside ASA), сразу были перенаправлены на адрес 77.77.77.77
|
06 окт 2015, 14:19 |
|
|
xeonz
Зарегистрирован: 11 окт 2013, 16:25 Сообщения: 148
|
Мой способ не сработал что ли?
|
06 окт 2015, 14:56 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
Добрый день.
Может я ошибаюсь, но ваш способ работает если ASA имеет два внешних интерфейса. На обоих устанавливается одинаковый левел, прописывается команда same-security-traffic permit intra-interface, а затем перенаправляем трафик. С одним интерфейсом пока не получилось. Если ваш рисунок представить в виде команд будет так?
object network 89.89.89.89_incoming (входящий) host 89.89.89.89 object network 94.94.94.94_coming (исходящий) host 94.94.94.94 object network 89.89.89.89_in_94.94.94.94 (подмена) host 94.94.94.94 object network 77.77.77.77_real_address (назначение) host 77.77.77.77
nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static 94.94.94.94_coming 77.77.77.77_real_address
Или необходимо так?
nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static 77.77.77.77_real_address 77.77.77.77_real_address
Подзапутался немного
Последний раз редактировалось Mikhail72 06 окт 2015, 16:38, всего редактировалось 1 раз.
|
06 окт 2015, 16:25 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
Mikhail72 писал(а): nat (inside,outside) не совсем понятно откуда у вас здесь берется inside. У вас пришел пакет на outside и на него же ушел
|
06 окт 2015, 16:30 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
И сможет ли в таком случае продолжать работать IPsec туннель между сетями 192.168.2.0 и 192.168.3.0?
|
06 окт 2015, 16:33 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
Конечно nat (outside,outside) и т.д. торопился когда писал
|
06 окт 2015, 16:35 |
|
|
xeonz
Зарегистрирован: 11 окт 2013, 16:25 Сообщения: 148
|
Mikhail72 писал(а): Может я ошибаюсь, но ваш способ работает если ASA имеет два внешних интерфейса. На обоих устанавливается одинаковый левел, прописывается команда same-security-traffic permit intra-interface, а затем перенаправляем трафик. same-security-traffic permit intra-interface предназначено как раз на случай одного интерфейса. Для случая двух интерфейсов с одинаковым security level используется команда same-security-traffic inter-interface Команды трансляции, которые сгенерил asdm: nat (outside,outside) source static test-89.89.89.89 test-94.94.94.94 destination static test-94.94.94.94 test-77.77.77.77. У вас используется объект 89.89.89.89_in_94.94.94.94 Чему он равен? Еще лучше покажите все объекты из трансляции.
|
07 окт 2015, 10:37 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
Добрый день
"У вас используется объект 89.89.89.89_in_94.94.94.94 Чему он равен?"
object network 89.89.89.89_in_94.94.94.94 (подмена) host 94.94.94.94
Это тот же самый объект, что у вас "test-94.94.94.94" который в строке "nat (outside,outside) source static test-89.89.89.89 test-94.94.94.94 destination static test-94.94.94.94 test-77.77.77.77" идет первым по порядку. Он, в принципе тот же, что и "94.94.94.94_coming", но назван по другому. Как, то я сталкивался с тем, что если его не назвать по другому, nat не понимал. И вопрос про туннель: сможет ли в таком случае продолжать работать IPsec туннель между сетями 192.168.2.0 и 192.168.3.0?
|
07 окт 2015, 11:29 |
|
|
xeonz
Зарегистрирован: 11 окт 2013, 16:25 Сообщения: 148
|
По идее на туннель это не влияет. У вас при попытке напрямую сходить на 77.77.77.77 работает? Может у вас на 77.77.77.77 нет проброса? Что говорит сама аса в логе при попытке сходить на 94.94.94.94 с адреса 89.89.89.89? Что говорит Packet trace?
|
07 окт 2015, 14:57 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
Добрый день.
При вводе:
nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static 94.94.94.94_coming 77.77.77.77_real_address
Пишет:
ERROR: Address 94.94.94.94 overlaps with OUTSIDE interface address. ERROR: NAT Policy is not downloaded
Что еще необходимо указать, что бы он понял, что адрес 94.94.94.94 и есть внешний интерфейс и он должен совпадать
|
08 окт 2015, 15:12 |
|
|
xeonz
Зарегистрирован: 11 окт 2013, 16:25 Сообщения: 148
|
Mikhail72 писал(а): Что еще необходимо указать, что бы он понял, что адрес 94.94.94.94 и есть внешний интерфейс и он должен совпадать В этом случае нужно прямо название интерфейса вписать.
|
08 окт 2015, 17:46 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static g0/1 77.77.77.77_real_address тут?
Или тут? object network 94.94.94.94_coming (исходящий) host g0/1 Так вреде синтаксис неверный получается
Может так?
object network 89.89.89.89_incoming (входящий) host 89.89.89.89 object network 94.94.94.94_coming (исходящий) host 94.94.94.94 object network 89.89.89.89_in_94.94.94.94 (подмена) host 94.94.94.94 object network 77.77.77.77_real_address (назначение) host 77.77.77.77
object network 94.94.94.94_coming nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static 94.94.94.94_coming 77.77.77.77_real_address
Поправьте пожалуйста
|
08 окт 2015, 20:53 |
|
|
xeonz
Зарегистрирован: 11 окт 2013, 16:25 Сообщения: 148
|
не g0/1, а name. Outside или как вы его в конфиге в блоке interface обозвали.
|
08 окт 2015, 21:25 |
|
|
Mikhail72
Зарегистрирован: 02 окт 2015, 09:02 Сообщения: 15
|
В конфиге он обозван как outside. Значит должно быть так: nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static outside 77.77.77.77_real_address
Выдает ошибку:
ASA1(config)# nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static outside 77.77.77.77_real_address ERROR: outside doesn't match an existing object or object-group
А при указании outside как объекта выдает:
ASA1(config)# object network 94.94.94.94_coming ASA1(config-network-object)# host outside ^ ERROR: % Invalid input detected at '^' marker.
Если указываешь адрес назначения для 89.89.89.89 сразу 77.77.77.77 nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static 77.77.77.77_appointment 77.77.77.77_appointment Все равно выдает ошибку:
ERROR: Address 94.94.94.94 overlaps with outside interface address. ERROR: NAT Policy is not downloaded
|
09 окт 2015, 07:22 |
|
|
xeonz
Зарегистрирован: 11 окт 2013, 16:25 Сообщения: 148
|
Загнал в ASDM, посмотрел что он сгенерил:
nat (outside,outside) source static test-89.89.89.89 interface destination static interface test-77.77.77.77
Аса оказывается понимает интерфейс из скобочек. А на месте объекта надо написать просто interface.
Поставьте себе asdm и не мучайтесь. Хотя бы для того, чтобы он вам генерил команды, которые вы сами не знаете.
|
09 окт 2015, 20:00 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 49 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|