отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Cisco ASA5525 - особенности настройки NAT

Добрый день!

В процессе экспериментов по настройке NAT на сабже, возник такой вопрос: почему в двух вариантах конфигурации ниже, при первом варианте всё работает, а при втором по внешнему IP не доступны www и https сервисы? По-идее оба варианта реализуют один и тот же фунционал и в таблице show xlate все ассоциации есть в обоих случаях.

Proxy Server - это Web-сервер с интерфесом почты
Edge Server - это пограничный почтовый сервер 
И оба они имеют внешний IP-адрес 77.78.21.123.

Вариант 1 - работает нормально.
object network WEB_MAIL
host 77.78.21.123

object network PROXY_SERVER
host 192.168.1.30

object network EDGE_SERVER
host 192.168.1.20

object service obj_www
service tcp source eq 80

object service obj_https
service tcp source eq 443

nat (inside,outside) source static PROXY_SERVER WEB_MAIL service obj_www obj_www
nat (inside,outside) source static PROXY_SERVER WEB_MAIL service obj_https obj_https
nat (inside,outside) source static EDGE_SERVER WEB_MAIL
Вариант 2 - из сети интернет не доступен Web-интерфейс почты ни по протоколу http ни по протоколу https.
object network WEB_MAIL
host 77.78.21.123

object network PROXY_SERVER_WWW
host 192.168.1.30
nat (inside,outside) static WEB_MAIL service tcp www www

object network PROXY_SERVER_HTTPS
host 192.168.1.30
nat (inside,outside) static WEB_MAIL service tcp https https

object network EDGE_SERVER
host 192.168.1.20
nat (inside,outside) static WEB_MAIL
1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Попробую объяснить на спичках

Попробую объяснить на спичках, внимательно смотрим на вывод команд show nat и show xlate, особо важен порядок.

1й случай:

TCP PAT from inside:192.168.1.30 80-80 to outside:77.78.21.123 80-80
    flags sr idle 0:01:57 timeout 0:00:00
TCP PAT from inside:192.168.1.30 443-443 to outside:77.78.21.123 443-443
    flags sr idle 0:01:57 timeout 0:00:00
NAT from inside:192.168.1.20 to outside:77.78.21.123
    flags s idle 0:01:56 timeout 0:00:00

Manual NAT Policies (Section 1)
1 (inside) to (outside) source static PROXY_SERVER WEB_MAIL   service obj_www obj_www
    translate_hits = 0, untranslate_hits = 0
2 (inside) to (outside) source static PROXY_SERVER WEB_MAIL   service obj_https obj_https
    translate_hits = 0, untranslate_hits = 0
3 (inside) to (outside) source static EDGE_SERVER WEB_MAIL
    translate_hits = 0, untranslate_hits = 0

2й случай:

NAT from inside:192.168.1.20 to outside:77.78.21.123
    flags s idle 0:00:01 timeout 0:00:00
TCP PAT from inside:192.168.1.30 443-443 to outside:77.78.21.123 443-443
    flags sr idle 0:00:02 timeout 0:00:00
TCP PAT from inside:192.168.1.30 80-80 to outside:77.78.21.123 80-80
    flags sr idle 0:00:02 timeout 0:00:00

Auto NAT Policies (Section 2)
1 (inside) to (outside) source static EDGE_SERVER WEB_MAIL
    translate_hits = 0, untranslate_hits = 0
2 (inside) to (outside) source static PROXY_SERVER_HTTPS WEB_MAIL   service tcp https https
    translate_hits = 0, untranslate_hits = 0
3 (inside) to (outside) source static PROXY_SERVER_WWW WEB_MAIL   service tcp www www
    translate_hits = 0, untranslate_hits = 0

Если хочется использовать object nat, тогда проблему можно решить так:

nat (inside,outside) after-auto source static EDGE_SERVER WEB_MAIL

вместо

object network EDGE_SERVER
host 192.168.1.20
nat (inside,outside) static WEB_MAIL

В результате получим вот такой вывод, опять же обратите внимание на порядок следования:


TCP PAT from inside:192.168.1.30 443-443 to outside:77.78.21.123 443-443
    flags sr idle 0:03:10 timeout 0:00:00
TCP PAT from inside:192.168.1.30 80-80 to outside:77.78.21.123 80-80
    flags sr idle 0:01:20 timeout 0:00:00
NAT from inside:192.168.1.20 to outside:77.78.21.123
    flags s idle 0:01:28 timeout 0:00:00


Auto NAT Policies (Section 2)
1 (inside) to (outside) source static PROXY_SERVER_HTTPS WEB_MAIL   service tcp https https
    translate_hits = 0, untranslate_hits = 0
2 (inside) to (outside) source static PROXY_SERVER_WWW WEB_MAIL   service tcp www www
    translate_hits = 0, untranslate_hits = 0

Manual NAT Policies (Section 3)
1 (inside) to (outside) source static EDGE_SERVER WEB_MAIL
    translate_hits = 0, untranslate_hits = 0

Почему это работает так:

https://supportforums.cisco.com/document/132066/asa-nat-83-nat-operation-and-configuration-format-cli

Более кратко:

  • Twice NAT without "after-auto" (First NAT configurations to be matched)
    • NAT0
    • Policy NAT configurations
    • Other special NAT configurations
  • Network Object NAT
    • Static NAT
    • Static PAT
  • Twice NAT with "after-auto" (Last NAT configurations to be matched, only difference is the "after-auto parameter)
    • Default Dynamic PAT and NAT rules for local networks.

Взято отсюда:

https://supportforums.cisco.com/discussion/11823861/twice-nat-vs-network-object-nat

Не забывайте ставить "правильный ответ", если я вам помог. Спасибо.

1 ОТВЕТ

Попробую объяснить на спичках

Попробую объяснить на спичках, внимательно смотрим на вывод команд show nat и show xlate, особо важен порядок.

1й случай:

TCP PAT from inside:192.168.1.30 80-80 to outside:77.78.21.123 80-80
    flags sr idle 0:01:57 timeout 0:00:00
TCP PAT from inside:192.168.1.30 443-443 to outside:77.78.21.123 443-443
    flags sr idle 0:01:57 timeout 0:00:00
NAT from inside:192.168.1.20 to outside:77.78.21.123
    flags s idle 0:01:56 timeout 0:00:00

Manual NAT Policies (Section 1)
1 (inside) to (outside) source static PROXY_SERVER WEB_MAIL   service obj_www obj_www
    translate_hits = 0, untranslate_hits = 0
2 (inside) to (outside) source static PROXY_SERVER WEB_MAIL   service obj_https obj_https
    translate_hits = 0, untranslate_hits = 0
3 (inside) to (outside) source static EDGE_SERVER WEB_MAIL
    translate_hits = 0, untranslate_hits = 0

2й случай:

NAT from inside:192.168.1.20 to outside:77.78.21.123
    flags s idle 0:00:01 timeout 0:00:00
TCP PAT from inside:192.168.1.30 443-443 to outside:77.78.21.123 443-443
    flags sr idle 0:00:02 timeout 0:00:00
TCP PAT from inside:192.168.1.30 80-80 to outside:77.78.21.123 80-80
    flags sr idle 0:00:02 timeout 0:00:00

Auto NAT Policies (Section 2)
1 (inside) to (outside) source static EDGE_SERVER WEB_MAIL
    translate_hits = 0, untranslate_hits = 0
2 (inside) to (outside) source static PROXY_SERVER_HTTPS WEB_MAIL   service tcp https https
    translate_hits = 0, untranslate_hits = 0
3 (inside) to (outside) source static PROXY_SERVER_WWW WEB_MAIL   service tcp www www
    translate_hits = 0, untranslate_hits = 0

Если хочется использовать object nat, тогда проблему можно решить так:

nat (inside,outside) after-auto source static EDGE_SERVER WEB_MAIL

вместо

object network EDGE_SERVER
host 192.168.1.20
nat (inside,outside) static WEB_MAIL

В результате получим вот такой вывод, опять же обратите внимание на порядок следования:


TCP PAT from inside:192.168.1.30 443-443 to outside:77.78.21.123 443-443
    flags sr idle 0:03:10 timeout 0:00:00
TCP PAT from inside:192.168.1.30 80-80 to outside:77.78.21.123 80-80
    flags sr idle 0:01:20 timeout 0:00:00
NAT from inside:192.168.1.20 to outside:77.78.21.123
    flags s idle 0:01:28 timeout 0:00:00


Auto NAT Policies (Section 2)
1 (inside) to (outside) source static PROXY_SERVER_HTTPS WEB_MAIL   service tcp https https
    translate_hits = 0, untranslate_hits = 0
2 (inside) to (outside) source static PROXY_SERVER_WWW WEB_MAIL   service tcp www www
    translate_hits = 0, untranslate_hits = 0

Manual NAT Policies (Section 3)
1 (inside) to (outside) source static EDGE_SERVER WEB_MAIL
    translate_hits = 0, untranslate_hits = 0

Почему это работает так:

https://supportforums.cisco.com/document/132066/asa-nat-83-nat-operation-and-configuration-format-cli

Более кратко:

  • Twice NAT without "after-auto" (First NAT configurations to be matched)
    • NAT0
    • Policy NAT configurations
    • Other special NAT configurations
  • Network Object NAT
    • Static NAT
    • Static PAT
  • Twice NAT with "after-auto" (Last NAT configurations to be matched, only difference is the "after-auto parameter)
    • Default Dynamic PAT and NAT rules for local networks.

Взято отсюда:

https://supportforums.cisco.com/discussion/11823861/twice-nat-vs-network-object-nat

Не забывайте ставить "правильный ответ", если я вам помог. Спасибо.

44
Просмотры
5
Полезный материал
1
Ответы