отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Проблема доступа к локальному веб-серверу по внешнему адресу из локальной сети.

Добрый день! Имеется cisco asa 5510 , и usergate firewall & proxy. есть интерфесы на cisco inside-192.168.2.2 outside-176.x.x.x  dmz 192.168.3.1. прокинуты порты 80,81,25 из outside в inside . К inside подключен proxy usergate и с прокси сервера раздается интернет и  связь по прокинутым портам в Локальную сеть. В локальной сети есть вэб сервер, он опубликован во внешнюю сеть( публикация работает). К нему есть доступ из внешней сети. А вот из локальной сети используя его внешний адрес 176.x.x.x подключится не удается. Подскажите почему, что нужно прописать на cisco чтобы он стал виден из локальной сети при обращении к нему по внешнему адресу.

8 ОТВЕТ.
Bronze

Добрый!

Добрый!

Сделай проще - обращайся к серверу не по адресу, а по DNS имени. В своем DNS сервере внутри сети добавь статическую запись, указывающую на внутренний серый адрес.

Есть конечно вариант сделать хитрый NAT на самой ASA, но имхо это будет костыль от лукавого.

Удачи.

New Member

Ну а все таки, как это

Ну а все таки, как это реализовать на asa? подскажите как этот  хитрый NAT прописать. Был бы в asaNAT loopback таких проблем бы не было.

Bronze

Ща попробую стендик собрать,

Ща попробую стендик собрать, погляжу как оно будет.

Bronze

Ох жесть.. я не думал что

Ох жесть.. я не думал что такое когда-то увижу и тем более реализую, но вобщем-то вот:

Старался придерживаться той же схемы адресации что и у тебя, версия ASA:

Cisco Adaptive Security Appliance Software Version 9.4(1)200
Device Manager Version 7.4(1)

Compiled on Mon 11-May-15 17:16 PDT by builders
System image file is "boot:/asa941-200-smp-k8.bin"

Конфиг:

interface GigabitEthernet0/0
nameif Outside
security-level 0
ip address 176.1.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif Inside
security-level 100
ip address 192.168.2.2 255.255.255.0
!
same-security-traffic permit intra-interface
object network http_srv
host 192.168.2.5
object network ext_addr
host 176.1.1.3
object service http
service tcp source eq www
object network twice
host 192.168.2.1
object-group network int_hosts
network-object host 192.168.2.6
access-list 123 extended permit ip any host 192.168.2.5
nat (Inside,Outside) source static http_srv ext_addr service http http
nat (Inside,Inside) source dynamic int_hosts twice destination static ext_addr http_srv
access-group 123 in interface Outside

Пробуем снаружи:

Ext-Host>telnet 176.1.1.3 80
Trying 176.1.1.3, 80 ... Open
d
HTTP/1.1 400 Bad Request
Date: Tue, 05 Apr 2016 12:18:27 GMT
Server: cisco-IOS
Accept-Ranges: none

400 Bad Request
[Connection to 176.1.1.3 closed by foreign host]

Пробуем изнутри:

Int-Host#telnet 176.1.1.3 80
Trying 176.1.1.3, 80 ... Open
f
HTTP/1.1 400 Bad Request
Date: Tue, 05 Apr 2016 12:12:07 GMT
Server: cisco-IOS
Accept-Ranges: none

400 Bad Request
[Connection to 176.1.1.3 closed by foreign host]

Но вот крайне не советую такое делать в реальной сети.

New Member

Для таких вещей на ASA есть

Для таких вещей на ASA есть DNS doctoring, но обращаться по-моему все же надо по имени.

Bronze

Хорошо, если DNS сервер

Хорошо, если DNS сервер находится за ASA и обращение идет на самом деле по имени, а не по адресу.

New Member

Надо или картиночку для

Надо или картиночку для правильно понимания, из вопроса я понял, что сервер находиться во внутренней сети. Или имеется ввиду как в этом случае будет происходить доступ к серверу из вне, то проблем не должно быть.

New Member

Обращение идет из локальной

Обращение идет из локальной сети  к серверу по публичному  IP адресу, НЕ ПО ИМЕНИ.  Вот его и не получается настроить. Если слать запросы с внешней сети то все нормально ходит.

113
Просмотры
0
Полезный материал
8
Ответы