отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

ASA NAT and ROUTE

Добрый день.

Проблема следующая: клиенты с помощью Easy VPN подключаются к роутеру Cisco 28xx, который подключен к ASE, за которой внутрення сеть.

При установке VPN они не имею доступ к внутренним ресурсам, а должны.

На ASA два интрефейска: inside, ouside.

Нужно ли обязательно натировать трафик от роутера (который идёт с public сети) к ASA, или несмотря на NAT изнутри сети, возможно что ASA будет просто роутить такие покеты во внутреннюю сеть?

Теги (2)
2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

ASA NAT and ROUTE

Я про ACL на интерфейс, делающий security-level несущественным. NAT - это отдельная тема.

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/access_nw.html

Ну и в версиях ASA <=8.2 "permit" работает как "запрещаем" только для nat 0, который и означает "исключить из NAT".

ASA NAT and ROUTE

В версиях <=8.2 nat 0 значит "исключить из NAT то что совпало".

8 ОТВЕТ.

ASA NAT and ROUTE

Ну это вопрос к тому, как организована маршрутизация.

Внутренняя сеть имеет маршруты до адресов, выдаваемых клиентам?

New Member

ASA NAT and ROUTE

Внутренние клиенты имеют шлюз внутренний айпи АСы. Наверное надо карту нарисовать)

И потом уже с вами пообщаться.

Пока что мини вопрос:

ASA, два интерфейса, изнутри нат наружу.  Если сек юниор левел внутреннего интерфейса больше уровня внешнего, будут ли пакеты роутиться с внешней сети во внутреннюю без публикации / статического ната?

ASA NAT and ROUTE

Ну в таком случае на асе должны быть маршруты до выдаваемых клиентам адресов, на 28ХХ - до внутренних ресурсов.

Что до последнего вопроса - вам надо просто повесить ACLи на интерфейсы и в них указать требуемые доступы. Тогда будет работать без NAT.

New Member

ASA NAT and ROUTE

Так и сделал. Добавил в acl на нат на ASA маршрут до адресов впн клиента. Просто смутило то, что на роутере когда мы хотим не натить адреса, мы пишем в acl deny, а в ASA мы пешим permit.

ASA NAT and ROUTE

Я про ACL на интерфейс, делающий security-level несущественным. NAT - это отдельная тема.

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/access_nw.html

Ну и в версиях ASA <=8.2 "permit" работает как "запрещаем" только для nat 0, который и означает "исключить из NAT".

New Member

ASA NAT and ROUTE

А что значит nat 0? Я acl повесил обратный и все заработало. Прям без публикации.

ASA NAT and ROUTE

В версиях <=8.2 nat 0 значит "исключить из NAT то что совпало".

New Member

ASA NAT and ROUTE

Спасибо, поставил ответ и оценочку.

198
Просмотры
0
Полезный материал
8
Ответы