Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 21:52



Ответить на тему  [ Сообщений: 26 ]  На страницу 1, 2  След.
ASA 5510 перенаправление трафика, замена адресов 
Автор Сообщение

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
Добрый день.
Поискал по форуму, ответы есть, но все какие-то не мои. Там кусочек, тут кусочек.
Вопросов несколько. Начну от простого к сложному.
Дано:
"Локальная сеть 1" 192.168.1.0 с выходом в интернет и белым IP 92.92.92.92.
"Локальная сеть 2" 192.168.2.0 с выходом в интернет и белым IP 89.89.89.89.
"Локальная сеть 3" 192.168.3.0 с выходом в интернет через asa 5510 (8.6(1)) и белым IP 94.94.94.94, содержащая сервер 192.168.3.2.
"Локальная сеть 4" 192.168.0.0 с выходом в интернет и белым IP 77.77.77.77, содержащая сервер 192.168.0.2
Задание:
При обращении из "Локальной сети 1" и "Локальной сети 2" на адрес 94.94.94.94, пользователи "Локальной сети 1" попадали на сервер 192.168.3.2, а ВСЕ пользователи "Локальной сети 2" попадали на сервер 192.168.0.2.
Вопрос:
Как настроить asa 5510 (8.6)?

Посложнее:
все тоже самое, но только ЧАСТЬ пользователей "Локальной сети 2" попадали на сервер 192.168.0.2, а остальные так же как и пользователи "Локальной сети 1" попадали на сервер 192.168.3.2. В этом случае наверное необходимо туннелирование.
Вопрос тот же:
Как настроить asa 5510 (8.6)?


02 окт 2015, 10:23
Профиль

Зарегистрирован: 28 мар 2014, 16:05
Сообщения: 90
Жара! =)
На тему простой части:
Если речь о Web серверах, то самый простой вариант сделать на сервере 94.94.94.94 (он же за НАТом 192.168.3.2) редирект на 77.77.77.77 (он же за НАТом 192.168.0.2) для сорс ip 89.89.89.89.

Если речь не о web, и технология не имеет функций редиректа, то нужен туннель между LAN 3 и 4. А дальше рулить НАТом на ASA.

Для варианта "посложнее" потребуется туннель между LAN 2 и 3 и помудрить с НАТом чуть посильнее...

Я правильно понимаю, что вы еще и от независимого DNS зависите, например Google?


02 окт 2015, 10:54
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
Редирект с помощью сервера возможен, но хотелось бы именно организовать на asa (сервер может выйти из строя его могут менять или просто перезагрузить и т.д.) .Речь почти о WEB серверах (1С). Между lan3 и lan4 туннель не поднять. т.к. lan4 развернута в ЦОД (виртуальные машины, виртуальное пограничное устройство, говорят, что скоро вроде как собираются такую функцию ввести, но пока нет).
Туннель между lan2 и lan3, а так же между lan1 и lan3 есть (ipsec), и пользователи lan1 и lan2 видят и работают на сервере (за НАТом 192.168.3.2) обращаясь напрямую к 192.168.3.2 . Необходимо, что бы часть пользователей lan2, при тех же локальных настройках (назовем их универсальные для всех пользователей - обращение к 94.94.94.94) обращалась к серверу в lan4 - 192.168.0.2 . А остальные при тех же настройках к серверу lan3 - 192.168.3.2 .


02 окт 2015, 11:34
Профиль

Зарегистрирован: 11 окт 2013, 16:25
Сообщения: 148
Mikhail72 писал(а):
Задание:
При обращении из "Локальной сети 1" и "Локальной сети 2" на адрес 94.94.94.94, пользователи "Локальной сети 1" попадали на сервер 192.168.3.2, а ВСЕ пользователи "Локальной сети 2" попадали на сервер 192.168.0.2.
Вопрос:
Как настроить asa 5510 (8.6)?


Сам так не делал, но в качестве идеи - на аса включить
same-security-traffic permit intra-interface
и далее организовать проброс трафика до 77.77.77.77 при условии source ip = 89.89.89.89 с одновременной заменой source адреса на 94.94.94.94. (на 77.77.77.77 естественно проброс до 192.168.0.2).

Изображение


02 окт 2015, 12:34
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Вы бы схемку нарисовали, а то как то на пальцах трудно понять.
Если я правильно понял, то у Вас в ЦОД туннеля нет и вам надо делать подмену адресов? Типа бежим на локальный, а подключемся к белому?


02 окт 2015, 12:48
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
xeonz

Да, по первому вопросу идея такая, сейчас почитаю о "same-security-traffic permit intra-interface" и как правильно написать проброс в ASA используя не интерфейс, а командную строку.

AlexSashkaff

Рисуночек сейчас организуем)


02 окт 2015, 13:39
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
Да, поняли правильно "в ЦОД туннеля нет и вам надо делать подмену адресов? Типа бежим на локальный, а подключемся к белому"

Представляю вашему вниманию 3 схемы.
Схема 1(черно-красная) - как организовано сейчас
Схема 2(черно-сине-зеленая) - простой вариант в котором я хочу разобраться
Схема 3(черно-красно-синяя) - это как хотелось бы. Вижу два варианта самый простой - редирект на сервере 192.168.3.2. Сложный - с помощью ASA, но здесь наверное надо организовывать два разных пула адресов для VPN соединений привязывать к ним адреса из сети 192.168.2.0 (каждый к своему пулу), а затем направлять одну часть на сервер 192.168.3.2, а вторую снова в интернет на адрес 77.77.77.77 и далее на сервер 192.168.0.2 . Как- то очень витиевато получилось. Ну может кто знает и зарядка для мозгов)


02 окт 2015, 15:34
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
Не могу прикрепить файл. дожил. Рисунок всего 11 Кб. формат .gif что надо-то еще?


02 окт 2015, 15:52
Профиль

Зарегистрирован: 11 окт 2013, 16:25
Сообщения: 148
Выложи на хостинг картинок и вставь через img тэги.


02 окт 2015, 16:35
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
Схема 1
Изображение
Схема 2
Изображение
Схема 3
Изображение


03 окт 2015, 15:50
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
Добрый день.

Есть какие-нибудь мысли? хотя бы по Схеме номер 2, где необходимо, что бы пользователи из Lan2 (192.168.2.0) обратившись на адрес 94.94.94.94 (адрес ottside ASA), сразу были перенаправлены на адрес 77.77.77.77


06 окт 2015, 14:19
Профиль

Зарегистрирован: 11 окт 2013, 16:25
Сообщения: 148
Мой способ не сработал что ли?


06 окт 2015, 14:56
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
Добрый день.

Может я ошибаюсь, но ваш способ работает если ASA имеет два внешних интерфейса. На обоих устанавливается одинаковый левел, прописывается команда same-security-traffic permit intra-interface, а затем перенаправляем трафик. С одним интерфейсом пока не получилось. Если ваш рисунок представить в виде команд будет так?

object network 89.89.89.89_incoming (входящий)
host 89.89.89.89
object network 94.94.94.94_coming (исходящий)
host 94.94.94.94
object network 89.89.89.89_in_94.94.94.94 (подмена)
host 94.94.94.94
object network 77.77.77.77_real_address (назначение)
host 77.77.77.77

nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static 94.94.94.94_coming 77.77.77.77_real_address

Или необходимо так?

nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static 77.77.77.77_real_address 77.77.77.77_real_address

Подзапутался немного


Последний раз редактировалось Mikhail72 06 окт 2015, 16:38, всего редактировалось 1 раз.



06 окт 2015, 16:25
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
Mikhail72 писал(а):
nat (inside,outside)
не совсем понятно откуда у вас здесь берется inside. У вас пришел пакет на outside и на него же ушел


06 окт 2015, 16:30
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
И сможет ли в таком случае продолжать работать IPsec туннель между сетями 192.168.2.0 и 192.168.3.0?


06 окт 2015, 16:33
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
Конечно nat (outside,outside) и т.д. торопился когда писал


06 окт 2015, 16:35
Профиль

Зарегистрирован: 11 окт 2013, 16:25
Сообщения: 148
Mikhail72 писал(а):
Может я ошибаюсь, но ваш способ работает если ASA имеет два внешних интерфейса. На обоих устанавливается одинаковый левел, прописывается команда same-security-traffic permit intra-interface, а затем перенаправляем трафик.

same-security-traffic permit intra-interface предназначено как раз на случай одного интерфейса. Для случая двух интерфейсов с одинаковым security level используется команда
same-security-traffic inter-interface

Команды трансляции, которые сгенерил asdm:

nat (outside,outside) source static test-89.89.89.89 test-94.94.94.94 destination static test-94.94.94.94 test-77.77.77.77.

У вас используется объект
89.89.89.89_in_94.94.94.94
Чему он равен? Еще лучше покажите все объекты из трансляции.


07 окт 2015, 10:37
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
Добрый день

"У вас используется объект
89.89.89.89_in_94.94.94.94
Чему он равен?"

object network 89.89.89.89_in_94.94.94.94 (подмена)
host 94.94.94.94

Это тот же самый объект, что у вас "test-94.94.94.94" который в строке "nat (outside,outside) source static test-89.89.89.89 test-94.94.94.94 destination static test-94.94.94.94 test-77.77.77.77" идет первым по порядку. Он, в принципе тот же, что и "94.94.94.94_coming", но назван по другому. Как, то я сталкивался с тем, что если его не назвать по другому, nat не понимал. И вопрос про туннель: сможет ли в таком случае продолжать работать IPsec туннель между сетями 192.168.2.0 и 192.168.3.0?


07 окт 2015, 11:29
Профиль

Зарегистрирован: 11 окт 2013, 16:25
Сообщения: 148
По идее на туннель это не влияет. У вас при попытке напрямую сходить на 77.77.77.77 работает? Может у вас на 77.77.77.77 нет проброса? Что говорит сама аса в логе при попытке сходить на 94.94.94.94 с адреса 89.89.89.89? Что говорит Packet trace?


07 окт 2015, 14:57
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
Добрый день.

При вводе:

nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static 94.94.94.94_coming 77.77.77.77_real_address

Пишет:

ERROR: Address 94.94.94.94 overlaps with OUTSIDE interface address.
ERROR: NAT Policy is not downloaded

Что еще необходимо указать, что бы он понял, что адрес 94.94.94.94 и есть внешний интерфейс и он должен совпадать


08 окт 2015, 15:12
Профиль

Зарегистрирован: 11 окт 2013, 16:25
Сообщения: 148
Mikhail72 писал(а):
Что еще необходимо указать, что бы он понял, что адрес 94.94.94.94 и есть внешний интерфейс и он должен совпадать

В этом случае нужно прямо название интерфейса вписать.


08 окт 2015, 17:46
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static g0/1 77.77.77.77_real_address
тут?

Или тут?
object network 94.94.94.94_coming (исходящий)
host g0/1
Так вреде синтаксис неверный получается

Может так?

object network 89.89.89.89_incoming (входящий)
host 89.89.89.89
object network 94.94.94.94_coming (исходящий)
host 94.94.94.94
object network 89.89.89.89_in_94.94.94.94 (подмена)
host 94.94.94.94
object network 77.77.77.77_real_address (назначение)
host 77.77.77.77

object network 94.94.94.94_coming
nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static 94.94.94.94_coming 77.77.77.77_real_address


Поправьте пожалуйста


08 окт 2015, 20:53
Профиль

Зарегистрирован: 11 окт 2013, 16:25
Сообщения: 148
не g0/1, а name. Outside или как вы его в конфиге в блоке interface обозвали.


08 окт 2015, 21:25
Профиль

Зарегистрирован: 02 окт 2015, 09:02
Сообщения: 15
В конфиге он обозван как outside.
Значит должно быть так:
nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static outside 77.77.77.77_real_address

Выдает ошибку:

ASA1(config)# nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static outside 77.77.77.77_real_address
ERROR: outside doesn't match an existing object or object-group

А при указании outside как объекта выдает:

ASA1(config)# object network 94.94.94.94_coming
ASA1(config-network-object)# host outside
^
ERROR: % Invalid input detected at '^' marker.

Если указываешь адрес назначения для 89.89.89.89 сразу 77.77.77.77
nat (outside,outside) source static 89.89.89.89_incoming 89.89.89.89_in_94.94.94.94 destination static 77.77.77.77_appointment 77.77.77.77_appointment
Все равно выдает ошибку:

ERROR: Address 94.94.94.94 overlaps with outside interface address.
ERROR: NAT Policy is not downloaded


09 окт 2015, 07:22
Профиль

Зарегистрирован: 11 окт 2013, 16:25
Сообщения: 148
Загнал в ASDM, посмотрел что он сгенерил:

nat (outside,outside) source static test-89.89.89.89 interface destination static interface test-77.77.77.77

Аса оказывается понимает интерфейс из скобочек. А на месте объекта надо написать просто interface.

Поставьте себе asdm и не мучайтесь. Хотя бы для того, чтобы он вам генерил команды, которые вы сами не знаете.


09 окт 2015, 20:00
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 26 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 49


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB