отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Доступ из локальной сети к ресурсу по внешнему ip-адресу на ASA 5505

Добрый день.

На Cisco ASA 5505 настроен удаленный доступ к серверу, находящемуся в локальной сети.

Приходится работать удаленно (не в офисе), но и нужно так же подключаться и из офиса. В этом случае нужно создавать еще одно подключение на компьютере для подключения к серверу из локальной сети.

2 ярлыка (для локальной сети и глобальной сети) иметь на компьютере неудобно.

Есть ли возможность настроить на ASA доступ к серверу, не меняя параметров подключения?

Если да, то как?

5 ОТВЕТ.
Bronze

Добрый!

Добрый!

Да, можно, с использованием twice nat или с помощью подмены DNS. Второй способ тоже отличается в зависимости от того, кто настроен в качестве DNS когда вы находитесь в офисной сети.

Итак, какой вариант вам нарисовать?

New Member

Думаю, оба пригодились бы.

Думаю, оба пригодились бы.

Bronze

Тогда начнем с самого

Тогда начнем с самого простого - у вас DNS настроен на автоматическое получение и в качестве него в локальной сети стоит отдельный сервер. Берем любой бесплатный DNS в интернете, регистрируем там запись типа А на внешний адрес вашей ASA. Создаем один ярлык для удаленного рабочего стола с DNS, а не с IP адресом. Далее на вашем внутреннем DNS сервере добавляем руками, статикой запись типа А, точно такую же как добавили на внешнем бесплатном DNS сервере, только в поле адрес пишем внутренний, серый адрес вашего сервера. В результате всё работает по одному ярлыку, что из внешних сетей, что из внутренней.

Второй вариант - подмена DNS ответа на лету средствами ASA, при условии что используется внешний DNS. Букв много, поэтому если интересно разобраться, то вот статья http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/72273-dns-doctoring-3zones.html 

Третий вариант - не используя танцы с DNS вообще. Предположим, у вас не замороченная конфигурация и присутствует всего два интерфейса - inside, outside. В таком случае конфигурация для принудительной трансляции трафика из вашей внутренней сети по направлению к белому адресу и подмене этого белого адреса на внутренний будет выглядеть так:

 nat (inside,outside) source static InternalNet InternalNet destination static WhiteIP ServerInternalIP service RDP RDP

Также следует учесть, что это правильно хорошо бы поставить повыше в списках NAT, в 1 секцию оно попадет само. Конечно, нужно чтобы были созданы объекты с правильными именами, или попробуйте вписать прямо цифрами адреса и порты. Еще нюанс - вы таким образом будете отправлять трафик с того же интерфейса, на который его приняли, поэтому понадобится добавить команду

same-security-traffic permit intra-interface

Успехов!

New Member

Спасибо!

Спасибо!

Скоро буду пробовать.

Cisco Employee

Третий способ работать не

Третий способ работать не будет. Во-первых, такая запись NAT будет предписывать маршрутизировать пакеты в outside, что будет конфликтовать с показаниями таблицы маршрутизации, в результате получим %ASA-6-110003: Routing failed to locate next hop for TCP и в inside пакет не пойдет (по кр. мере в большинстве версий).

Можно написать:

 nat (inside,inside) source static InternalNet InternalNet destination static WhiteIP ServerInternalIP service RDP RDP

но это тоже не поможет, хотя сам NAT будет работать. Дело в том, что RDP-сервер будет отвечать на пришедший ему SYN не через ASA, а напрямую отправителю, поскольку отправитель и получатель находятся в одном сетевом сегменте. Отправитель, таким образом, получит SYN/ACK не от WhiteIP, а от ServerInternalIP и вышлет в ответ TCP RST. Можно, конечно, пытаться прописать на RDP-сервере хостовый маршрут до отправителя через ASA, но тут результат уже будет зависеть от возможностей OS, что она предпочтет: connected route на локальный сегмент / ARP-запись или хостовый маршрут.

В таких задачах лучше решать вопрос с помощью DNS. Типично: внутренний DNS-сервер, возвращающий внутренний IP в LAN и внешний IP - наружу.

383
Просмотры
0
Полезный материал
5
Ответы