Две Cisco ASA и один сервер

inco · 2014-05-28 13:49:11

Добрый день всем сетевикам.

Обрисую проблему, есть такая схема:

- есть две асы

- за каждой асой стоит веб-сервер

- сервера между собой соединены напрямую

- на асах проброшены порты, настроен нат, ацлки.

Требуется временно убрать второй сервак, а его асу подключить к первому серверу (дабы не заморачиваться с днс и прочее).

Перенесли всю инфу со второго сервера на первый, прописали айпишники, переподключили асу, но получили болт.

Насколько я понимаю проблема в маршруте по умолчанию плюс у ас 5505 нет поддержки мультипаса.

Есть какие либо идеи? или может я чет не так сделал?

Всем кто откликнулся - спасибо!

route · 2014-05-28 14:24:50

А маршрут прописали что сеть 192.168.1.2 должна быть видна через 192.168.2.2 ?

inco · 2014-05-28 15:02:36

маршрут по умолчанию для srv-1 это 192.168.1.1

сеть 192.168.1.0 доступна через ем0

сеть 192.168.2.0 через ем1 соответственно

значит нужен маршрут для сети 192.168.2.0 через 192.168.1.2

так?

route · 2014-05-28 16:23:29

А что у Вас прописано на em1 интерфейсах ?

inco · 2014-05-28 16:58:41

192.168.2.2

Nikolay_ · 2014-05-29 02:52:27

Обе Asa, я так понимаю, имеют выход в интернет? Сервер должен быть доступен снаружи с обеих Asa? Не будет оно работать, у Вас по сути, asymmetric routing получилось.

Просто прописывание маршрута не поможет, twice nat надо использовать.

Какая версия ios на Asa 2?

Edited 2014-05-29 03:00:31 by Nikolay_

inco · 2014-05-29 06:09:06

Да обе асы имеют выход в инет.

Да, сервер должен быть доступен с обеих ас.

аса 5505 версия 8.4.

вчера попробовал такую схему - и правда, не завелось.

Опишите суть twice nat, если не сложно.

Nikolay_ · 2014-05-29 07:39:01

Twice NAT - когда натится и source и destination address в пакете.

Вот приблизительно Ваш случай.

http://www.fir3net.com/Cisco-ASA/cisco-asa-twice-nat.html

Пакет который приходит на outside interface - у него натится destination address согласно ваших правил проброса портов, а source address натится динамически адрес из пула адресов (какая-то определенная подсеть, например 192.168.11.0/24)

На вашем сервере прописываете маршрут, не знаю на чем он у Вас, для Cisco это выглядело бы так:

ip route 192.168.11.0 255.255.255.0 192.168.2.1

когда возвращающийся пакет придет на inside interface - он будет подвергнут обратной трансляции и уйдет по назначению.

Другого решения Вашей задачи я не вижу...

Почему за версия IOS спрашивал - до 8.3 был один синтаксис написания правил NAT, начиная с 8.3 - другой, наверное, сами знали.

Если нужна более практическая помощь - могу помочь с конфигом, но нужны будут куски конфига с Вашей Cisco ASA 2. На asa 1 вообще ничего трогать не надо.

inco · 2014-05-29 08:09:18





ASA-2# sh run

: Saved

:

ASA Version 8.4(5)

!

hostname ASA-2

!

names

!

interface Ethernet0/0

 shutdown

!

interface Ethernet0/1

 switchport access vlan 100

!

interface Ethernet0/2

 switchport access vlan 200

!

interface Ethernet0/3

 shutdown

!

interface Ethernet0/4

 shutdown

!

interface Ethernet0/5

 shutdown

!

interface Ethernet0/6

 shutdown

!

interface Ethernet0/7

 shutdown

!

interface Vlan1

 no nameif

 no security-level

 no ip address

!

interface Vlan100

 nameif outside

 security-level 0

 ip address 195.12.59.10 255.255.255.240

!

interface Vlan200

 nameif inside

 security-level 100

 ip address 192.168.2.1 255.255.255.252

!

boot system disk0:/asa845-k8.bin

ftp mode passive

dns domain-lookup outside

dns domain-lookup inside

dns server-group DefaultDNS

 name-server 8.8.8.8

 name-server 195.12.56.1

 name-server 195.12.59.30

object network INTERNET

 subnet 0.0.0.0 0.0.0.0

object network SSH-SRV

 host 192.168.2.2

object network WEB-SRV

 host 192.168.2.2

object network FTP-SRV

 host 192.168.2.2

object network ASA-EXT

 host 195.12.59.10

object network MONIT

 host 192.168.2.2

object service WEB-HTTPS

 service tcp destination eq https

object network WEB-443

 host 192.168.2.2

object network MON-5678

 host 192.168.2.2

object-group network FTP-ACCESS

 network-object host 91.224.3.66

 network-object host 91.224.3.35

object-group network ADMINS

 network-object host 91.224.3.35

 network-object host 91.224.3.66

 network-object host 172.16.39.26

 network-object host 172.16.39.28

 network-object host 172.16.39.30

 network-object host 91.226.201.2

 network-object host 194.176.97.83

 network-object host 178.159.238.213

 network-object host 195.225.228.242

 network-object host 194.29.62.154

object-group network INSIDE-NET

 description Vnutrinnie seti!!!

 network-object host 192.168.2.1

 network-object host 192.168.2.2

access-list OUTSIDE-ACCESS-IN extended permit ip object-group ADMINS any log disable

access-list OUTSIDE-ACCESS-IN extended permit tcp object-group ADMINS any eq 2812

access-list OUTSIDE-ACCESS-IN extended permit tcp object-group FTP-ACCESS any eq ftp

access-list OUTSIDE-ACCESS-IN extended permit tcp object-group FTP-ACCESS any eq ftp-data

access-list OUTSIDE-ACCESS-IN extended permit tcp any object WEB-SRV eq www log                                                                                                                                disable

access-list OUTSIDE-ACCESS-IN extended permit tcp any object WEB-SRV eq https log disable

access-list OUTSIDE-ACCESS-IN extended permit tcp object-group ADMINS any eq 5678

access-list INSIDE-ACCESS-IN extended permit ip object-group INSIDE-NET any

access-list INSIDE-ACCESS-IN extended permit ip object-group ADMINS any

access-list INSIDE-ACCESS-IN extended permit tcp object ASA-EXT object-group FTP-ACCESS eq ftp inactive

access-list INSIDE-ACCESS-IN extended permit tcp object ASA-EXT object-group FTP-ACCESS eq ftp-data inactive

access-list INSIDE-ACCESS-IN extended permit tcp any object-group FTP-ACCESS eq ftp

access-list INSIDE-ACCESS-IN extended permit tcp any object-group FTP-ACCESS eq ftp-data

pager lines 40

mtu outside 1500

mtu inside 1500

ip verify reverse-path interface outside

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image disk0:/asdm-649-103.bin

no asdm history enable

arp timeout 14400

no arp permit-nonconnected

!

object network INTERNET

 nat (inside,outside) dynamic interface

object network SSH-SRV

 nat (inside,outside) static interface service tcp 1022 1022

object network WEB-SRV

 nat (inside,outside) static interface service tcp www www

object network FTP-SRV

 nat (inside,outside) static interface service tcp ftp 2121

object network MONIT

 nat (inside,outside) static interface service tcp 2812 2812

object network WEB-443

 nat (inside,outside) static interface service tcp https https

object network MON-5678

 nat (inside,outside) static interface service tcp 5678 5678

access-group OUTSIDE-ACCESS-IN in interface outside

access-group INSIDE-ACCESS-IN in interface inside

route outside 0.0.0.0 0.0.0.0 195.12.59.1 1

timeout xlate 3:00:00

timeout pat-xlate 0:00:30

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

timeout floating-conn 0:00:00

dynamic-access-policy-record DfltAccessPolicy

user-identity default-domain LOCAL

aaa authentication ssh console LOCAL

http 91.224.3.0 255.255.255.0 outside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

telnet timeout 5

ssh 91.224.3.0 255.255.255.0 outside

ssh 91.224.3.66 255.255.255.255 outside

ssh 192.168.1.0 255.255.255.252 inside

ssh 192.168.2.0 255.255.255.252 inside

ssh 192.168.2.2 255.255.255.255 inside

ssh 192.168.2.0 255.255.255.0 inside

ssh timeout 30

ssh version 2

ssh key-exchange group dh-group1-sha1

console timeout 0


threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

 anyconnect-essentials

username inco password TB0eEY3Q1r7MYy/h encrypted privilege 15

!

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum client auto

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect ip-options

  inspect netbios

  inspect rsh

  inspect rtsp

  inspect skinny

  inspect esmtp

  inspect sqlnet

  inspect sunrpc

  inspect tftp

  inspect sip

  inspect xdmcp

!

service-policy global_policy global

prompt hostname context

no call-home reporting anonymous

call-home

 profile CiscoTAC-1

  no active

  destination address http https://tools.cisco.com/its/service/oddce/services/DD                                                                                                                               CEService

  destination address email callhome@cisco.com

  destination transport-method http

  subscribe-to-alert-group diagnostic

  subscribe-to-alert-group environment

  subscribe-to-alert-group inventory periodic monthly

  subscribe-to-alert-group configuration periodic monthly

  subscribe-to-alert-group telemetry periodic daily

password encryption aes

Cryptochecksum:21fcead2e6c207954ba11db6f6be4e41

: end

ASA-2#

Edited 2014-05-29 08:11:37 by inco

Nikolay_ · 2014-05-29 09:21:59

Надо было конфиг в PM кинуть, или public IP спрятать .

Попробуйте так прописать:

object network WEB_CLIENTS

subnet 192.168.11.0 255.255.255.0

object network WEB_SRV_2

host 192.168.2.2

object network WEB_SRV_2_MAPPED

host 195.12.59.10

object service WEB_SERVICE

service 80

nat (outside,inside) 1 source dynamic any WEB_CLIENTS destination static WEB_SRV_2_MAPPED WEB_SRV_2 service WEB_SERVICE WEB_SERVICE

Сейчас ASA под рукой нет, писал по памяти...

сеть 192.168.11.0 255.255.255.0 не должна использоваться нигде, кроме ASA 2.

На сервере должен быть прописан маршрут к сети 192.168.11.0 255.255.255.0

ip route 192.168.11.0 255.255.255.0 192.168.2.1

если не взлетит - пишите. Если взлетит - тоже.

Edited 2014-05-29 09:28:43 by Nikolay_

inco · 2014-05-29 11:24:30

итак

при попытке ткнуть правило ната, ругнулось так:

ASA-2(config)# nat (outside,inside) 1 source dynamic any WEB_CLIENTS destinati$
ERROR: Subnet can not be used as mapped source in dynamic NAT policy.

Nikolay_ · 2014-05-29 12:15:23

Ок. попробую на ASA нормальной и скорректирую конфиг..

Вот так попробуйте прописать.

object service WEB_SERVICE
service tcp destination eq www

nat (OUTSIDE,INSIDE) source dynamic any interface destination static WEB_SRV_2_MAPPED WEB_SRV_2 service WEB_SERVICE WEB_SERVICE

Edited 2014-05-29 12:43:01 by Nikolay_

Nikolay_ · 2014-06-02 13:23:37

Сегодня проверил на живой ASA 9.2(1) - все работает в таком виде:

object network WEB_SRV_2

host 192.168.2.2

object service WEB_SERVICE
service tcp destination eq www

nat (OUTSIDE,INSIDE) source dynamic any interface destination static interface WEB_SRV_2 service WEB_SERVICE WEB_SERVICE

Сервер видит все подключения с source address 192.168.2.1

Да, и Ваш сервер должен слушать 80 порт на адресе 192.168.2.2, не только на адресе 192.168.1.2.

Так что пробуйте...

Sign In

Две Cisco ASA и один сервер

Recommended Posts

inco 20

Link to post

Share on other sites

route 69

Link to post

Share on other sites

inco 20

Link to post

Share on other sites

route 69

Link to post

Share on other sites

inco 20

Link to post

Share on other sites

Nikolay_ 0

Link to post

Share on other sites

inco 20

Link to post

Share on other sites

Nikolay_ 0

Link to post

Share on other sites

inco 20

Link to post

Share on other sites

Nikolay_ 0

Link to post

Share on other sites

inco 20

Link to post

Share on other sites

Nikolay_ 0

Link to post

Share on other sites

Nikolay_ 0

Link to post

Share on other sites

Create an account or sign in to comment

Create an account

Sign in

Recently Browsing 0 members

Similar Content