Две Cisco ASA и один сервер

[inco 20]

Добрый день всем сетевикам.

 

Обрисую проблему, есть такая схема:

- есть две асы

- за каждой асой стоит веб-сервер

- сервера между собой соединены напрямую

- на асах проброшены порты, настроен нат, ацлки.

 

Требуется временно убрать второй сервак, а его асу подключить к первому серверу (дабы не заморачиваться с днс и прочее).

 

Перенесли всю инфу со второго сервера на первый, прописали айпишники, переподключили асу, но получили болт.

 

Насколько я понимаю проблема в маршруте по умолчанию плюс у ас 5505 нет поддержки мультипаса. 

Есть какие либо идеи? или может я чет не так сделал?

 

Всем кто откликнулся - спасибо!

 

[route 40]

 А маршрут прописали что сеть 192.168.1.2 должна быть видна через 192.168.2.2 ?

[inco 20]

маршрут по умолчанию для srv-1 это 192.168.1.1

сеть 192.168.1.0 доступна через ем0

сеть 192.168.2.0 через ем1 соответственно

 

значит нужен маршрут для сети 192.168.2.0 через 192.168.1.2

так?

[route 40]

А что у Вас прописано на em1 интерфейсах ?

[inco 20]

192.168.2.2

[Nikolay_ 0]

Обе Asa, я так понимаю, имеют выход в интернет? Сервер должен быть доступен снаружи с обеих Asa? Не будет оно работать, у Вас по сути, asymmetric routing получилось.

Просто прописывание маршрута не поможет, twice nat надо использовать.

Какая версия ios на Asa 2?

Відредаговано 2014-05-29 03:00:31 Nikolay_

[inco 20]

Да обе асы имеют выход в инет.

Да, сервер должен быть доступен с обеих ас.

 

аса 5505 версия 8.4.

 

вчера попробовал такую схему - и правда, не завелось.

 

Опишите суть twice nat, если не сложно.

[Nikolay_ 0]

Twice NAT - когда натится и source и destination address в пакете.

Вот приблизительно Ваш случай.

http://www.fir3net.com/Cisco-ASA/cisco-asa-twice-nat.html

Пакет который приходит на outside interface - у него натится destination address согласно ваших правил проброса портов, а source address натится динамически адрес из пула адресов (какая-то определенная подсеть, например 192.168.11.0/24)

 

На вашем сервере прописываете маршрут, не знаю на чем он у Вас, для Cisco это выглядело бы так:

ip route 192.168.11.0 255.255.255.0 192.168.2.1

когда возвращающийся пакет придет на inside interface - он будет подвергнут обратной трансляции и уйдет по назначению.

Другого решения Вашей задачи я не вижу...

 

Почему за версия IOS спрашивал - до 8.3 был один синтаксис написания правил NAT, начиная с 8.3 - другой, наверное, сами знали.

Если нужна более практическая помощь - могу помочь с конфигом, но нужны будут куски конфига с Вашей Cisco ASA 2. На asa 1 вообще ничего трогать не надо.

[inco 20]

ASA-2# sh run

: Saved

:

ASA Version 8.4(5)

!

hostname ASA-2

!

names

!

interface Ethernet0/0

 shutdown

!

interface Ethernet0/1

 switchport access vlan 100

!

interface Ethernet0/2

 switchport access vlan 200

!

interface Ethernet0/3

 shutdown

!

interface Ethernet0/4

 shutdown

!

interface Ethernet0/5

 shutdown

!

interface Ethernet0/6

 shutdown

!

interface Ethernet0/7

 shutdown

!

interface Vlan1

 no nameif

 no security-level

 no ip address

!

interface Vlan100

 nameif outside

 security-level 0

 ip address 195.12.59.10 255.255.255.240

!

interface Vlan200

 nameif inside

 security-level 100

 ip address 192.168.2.1 255.255.255.252

!

boot system disk0:/asa845-k8.bin

ftp mode passive

dns domain-lookup outside

dns domain-lookup inside

dns server-group DefaultDNS

 name-server 8.8.8.8

 name-server 195.12.56.1

 name-server 195.12.59.30

object network INTERNET

 subnet 0.0.0.0 0.0.0.0

object network SSH-SRV

 host 192.168.2.2

object network WEB-SRV

 host 192.168.2.2

object network FTP-SRV

 host 192.168.2.2

object network ASA-EXT

 host 195.12.59.10

object network MONIT

 host 192.168.2.2

object service WEB-HTTPS

 service tcp destination eq https

object network WEB-443

 host 192.168.2.2

object network MON-5678

 host 192.168.2.2

object-group network FTP-ACCESS

 network-object host 91.224.3.66

 network-object host 91.224.3.35

object-group network ADMINS

 network-object host 91.224.3.35

 network-object host 91.224.3.66

 network-object host 172.16.39.26

 network-object host 172.16.39.28

 network-object host 172.16.39.30

 network-object host 91.226.201.2

 network-object host 194.176.97.83

 network-object host 178.159.238.213

 network-object host 195.225.228.242

 network-object host 194.29.62.154

object-group network INSIDE-NET

 description Vnutrinnie seti!!!

 network-object host 192.168.2.1

 network-object host 192.168.2.2

access-list OUTSIDE-ACCESS-IN extended permit ip object-group ADMINS any log disable

access-list OUTSIDE-ACCESS-IN extended permit tcp object-group ADMINS any eq 2812

access-list OUTSIDE-ACCESS-IN extended permit tcp object-group FTP-ACCESS any eq ftp

access-list OUTSIDE-ACCESS-IN extended permit tcp object-group FTP-ACCESS any eq ftp-data

access-list OUTSIDE-ACCESS-IN extended permit tcp any object WEB-SRV eq www log                                                                                                                                disable

access-list OUTSIDE-ACCESS-IN extended permit tcp any object WEB-SRV eq https log disable

access-list OUTSIDE-ACCESS-IN extended permit tcp object-group ADMINS any eq 5678

access-list INSIDE-ACCESS-IN extended permit ip object-group INSIDE-NET any

access-list INSIDE-ACCESS-IN extended permit ip object-group ADMINS any

access-list INSIDE-ACCESS-IN extended permit tcp object ASA-EXT object-group FTP-ACCESS eq ftp inactive

access-list INSIDE-ACCESS-IN extended permit tcp object ASA-EXT object-group FTP-ACCESS eq ftp-data inactive

access-list INSIDE-ACCESS-IN extended permit tcp any object-group FTP-ACCESS eq ftp

access-list INSIDE-ACCESS-IN extended permit tcp any object-group FTP-ACCESS eq ftp-data

pager lines 40

mtu outside 1500

mtu inside 1500

ip verify reverse-path interface outside

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image disk0:/asdm-649-103.bin

no asdm history enable

arp timeout 14400

no arp permit-nonconnected

!

object network INTERNET

 nat (inside,outside) dynamic interface

object network SSH-SRV

 nat (inside,outside) static interface service tcp 1022 1022

object network WEB-SRV

 nat (inside,outside) static interface service tcp www www

object network FTP-SRV

 nat (inside,outside) static interface service tcp ftp 2121

object network MONIT

 nat (inside,outside) static interface service tcp 2812 2812

object network WEB-443

 nat (inside,outside) static interface service tcp https https

object network MON-5678

 nat (inside,outside) static interface service tcp 5678 5678

access-group OUTSIDE-ACCESS-IN in interface outside

access-group INSIDE-ACCESS-IN in interface inside

route outside 0.0.0.0 0.0.0.0 195.12.59.1 1

timeout xlate 3:00:00

timeout pat-xlate 0:00:30

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

timeout floating-conn 0:00:00

dynamic-access-policy-record DfltAccessPolicy

user-identity default-domain LOCAL

aaa authentication ssh console LOCAL

http 91.224.3.0 255.255.255.0 outside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

telnet timeout 5

ssh 91.224.3.0 255.255.255.0 outside

ssh 91.224.3.66 255.255.255.255 outside

ssh 192.168.1.0 255.255.255.252 inside

ssh 192.168.2.0 255.255.255.252 inside

ssh 192.168.2.2 255.255.255.255 inside

ssh 192.168.2.0 255.255.255.0 inside

ssh timeout 30

ssh version 2

ssh key-exchange group dh-group1-sha1

console timeout 0


threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

 anyconnect-essentials

username inco password TB0eEY3Q1r7MYy/h encrypted privilege 15

!

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum client auto

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect ip-options

  inspect netbios

  inspect rsh

  inspect rtsp

  inspect skinny

  inspect esmtp

  inspect sqlnet

  inspect sunrpc

  inspect tftp

  inspect sip

  inspect xdmcp

!

service-policy global_policy global

prompt hostname context

no call-home reporting anonymous

call-home

 profile CiscoTAC-1

  no active

  destination address http https://tools.cisco.com/its/service/oddce/services/DD                                                                                                                               CEService

  destination address email callhome@cisco.com

  destination transport-method http

  subscribe-to-alert-group diagnostic

  subscribe-to-alert-group environment

  subscribe-to-alert-group inventory periodic monthly

  subscribe-to-alert-group configuration periodic monthly

  subscribe-to-alert-group telemetry periodic daily

password encryption aes

Cryptochecksum:21fcead2e6c207954ba11db6f6be4e41

: end

ASA-2#

 

Відредаговано 2014-05-29 08:11:37 inco

[Nikolay_ 0]

Надо было конфиг в PM кинуть,  или public IP спрятать .

Попробуйте так прописать:
 

object network WEB_CLIENTS

 subnet 192.168.11.0 255.255.255.0

 

object network WEB_SRV_2

 host 192.168.2.2

 

object network WEB_SRV_2_MAPPED

 host 195.12.59.10

 

 

object service WEB_SERVICE

 service 80

 

nat (outside,inside) 1 source dynamic any WEB_CLIENTS destination static WEB_SRV_2_MAPPED WEB_SRV_2 service WEB_SERVICE WEB_SERVICE

 

 

Сейчас ASA под рукой нет, писал по памяти...

сеть 192.168.11.0 255.255.255.0 не должна использоваться нигде, кроме ASA 2.

На сервере должен быть прописан маршрут к сети 192.168.11.0 255.255.255.0

ip route 192.168.11.0 255.255.255.0 192.168.2.1

 

если не взлетит - пишите. Если взлетит - тоже.

Відредаговано 2014-05-29 09:28:43 Nikolay_

[inco 20]

итак

при попытке ткнуть правило ната, ругнулось так:

ASA-2(config)# nat (outside,inside) 1 source dynamic any WEB_CLIENTS destinati$
ERROR: Subnet can not be used as mapped source in dynamic NAT policy.

[Nikolay_ 0]

Ок. попробую на ASA нормальной и скорректирую конфиг..

 

 

Вот так попробуйте прописать.

 

object service WEB_SERVICE
 service tcp destination eq www

 

nat (OUTSIDE,INSIDE) source dynamic any interface destination static WEB_SRV_2_MAPPED WEB_SRV_2 service WEB_SERVICE WEB_SERVICE

Відредаговано 2014-05-29 12:43:01 Nikolay_

[Nikolay_ 0]

Сегодня проверил на живой ASA  9.2(1)  - все работает в таком виде:

 

object network WEB_SRV_2

 host 192.168.2.2

 

object service WEB_SERVICE
 service tcp destination eq www

 

nat (OUTSIDE,INSIDE) source dynamic any interface destination static interface WEB_SRV_2 service WEB_SERVICE WEB_SERVICE

 

Сервер видит все подключения с source address 192.168.2.1

 

Да, и Ваш сервер должен слушать 80 порт на адресе 192.168.2.2, не только на адресе 192.168.1.2.

 

Так что пробуйте...