cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
8902
Visitas
9
ÚTIL
13
Respuestas

acceder a un servidor en DMZ por su ip publica

Saludos a tod@s

junto con saludarlos quisiera saber si me pueden prestar ayuda.

En un asa 5510 tengo en total 3 redes, una LAN con segmento 192.168.0.1/24, una red DMZ con un rango 192.168.1.1/24, un servidor DMZ con una ip 192.168.1.2 y en la red exterior tengo las direcciones ip 10.0.0.2/248.

nececito que los clientes de la LAN puedan acceder al servidor por medio de su ip publica (para este ejemplo 10.0.0.3).

actualmente el nat desde la red outside funciona sin problemas

de antemano

Muchas gracias por su ayuda

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

alvaro

nat (dmz,inside) source static srv-ip-interna SRV_IP-EXT destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda

Lo que hace este NAT es que el server de la DMZ sea accesible desde la LAN por medio de la IP publica. Es por esto que no te funciona el telnet 172.16.30.10 80 cuando lo ejecutas desde la LAN.

El problema aca es que cuando ejecutas telnet 186.XX.XX.77 80 el trafico esta yendo de la inside a la outside porque está aplicando el nat del obj_any.


Lo que tenes que hacer es poner el NAT con una posicion mejor que la del obj_any, para asegurarnos pone 1

nat (dmz,inside) 1 source static srv-ip-interna SRV_IP-EXT destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda

Proba el packet tracert para ver que este aplicando el nat correcto.

¿El server de la dmz lo estas publicando en la outside tambien?

Saludos.-

Ver la solución en mensaje original publicado

13 RESPUESTAS 13

Matias Ortiz
Level 1
Level 1

Hola alvaro.sepulveda.Orellana, proba con el comando:

packet-tracer input cliente tcp 192.168.0.2 1234 10.0.0.3 80

con esto vas a poder ver como es flujo de trafico en tu ASA y detectar si te esta faltando algo en  la configuración.

Si tenes ASDM, también tenes la opción de correr este comando de forma visual y mucho mas amigable.

Exitos.

Hola Matias. gracias por respoder.

te comento que realice este comando y el resultado es el siguietne:

packet-tracer input inside tcp 10.0.XX.XX 1234 186.XX.XX.XX 80

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

pero cuando intento conectarme no resulta

asepulveda$ telnet 186.XX.XX.XX 80
Trying 186.XX.XX.XX...
telnet: connect to address 186.XX.XX.XX: Operation timed out
telnet: Unable to connect to remote host

de antemano gracias

Hola, en el detalle del comando te aparecen todos los procesos que se usan para la conexion que estas probando.

Por el resultado que pasaste podemos confirmar que las rutas y ACL estan OK. Un punto donde generalmente hay problemas es el con NAT. Si podes, pasa el log completo del comando asi analizamos ese punto.

Otro cosa, ¿los direccionamiento los cambiaste? Porque al principio dijiste que la Lan era 192.168.0.1/24, la DMZ 192.168.1.1/24 y el server publico era 10.0.0.3. (¿estas haciendo un LAB, no? Porque la red 10.0.0.0/8 es direccionamiento privado). Y con el packet-tracert usaste lan 10.0.XX.XX   y outside 186.XX.XX.XX 

Saludos.-

Hola.

Gracias por responder :)

te adjunto el packet tracert.

Para este caso la red local  es una clase C con de la red 10. la ip de la DMZ es una ip privada de la red 172 (/29) y la red publica es un segmento de la red 186 (/29)

ahora, no se si me explico bien, pero el punto es que si desde la red local intento acceder a la DMZ por la ip privada funciona sin problemas, pero lo que necesito es acceder a ella por medio de la ip publica.

MacBook-Pro-de-Alvaro:~ asepulveda$ telnet 172.16.30.10 80
Trying 172.16.30.10...
Connected to 172.16.30.10.
Escape character is '^]'.


MacBook-Pro-de-Alvaro:~ asepulveda$ telnet 186.XX.XX.77 80
Trying 186.XX.XX.77...
telnet: connect to address 186.XX.XX.77: Operation timed out
telnet: Unable to connect to remote host
MacBook-Pro-de-Alvaro:~ asepulveda$

 packet-tracer input inside tcp 10.0.18.112 1234 186.XX.XX.77 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   186.XX.XX.72    255.255.255.248 outside

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_access_in in interface inside
access-list inside_access_in extended permit object-group DM_INLINE_PROTOCOL_6 object Mac-Alvaro-Sepulveda object-group DM_INLINE_NETWORK_4 log debugging
object-group protocol DM_INLINE_PROTOCOL_6
 protocol-object ip
 protocol-object icmp
object-group network DM_INLINE_NETWORK_4
 network-object 0.0.0.0 0.0.0.0
 network-object 10.0.254.0 255.255.255.0
Additional Information:

Phase: 4
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj_any
 nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate Mac-Alvaro-Sepulveda/1234 to IP_Publica_74/1234

Phase: 5
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
              
Phase: 6
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside_access_out out interface outside
access-list outside_access_out extended permit ip any4 any4 log disable
access-list outside_access_out
Additional Information:
              
Phase: 9
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 12
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:

Phase: 13
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 179949197, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

Hola alvaro.sepulveda.Orellana, proba haciendo este nat.

Los grupos los hago con nombre generico, vos ponelos como aplique en tu ambiente:

object network server_dmz
host 172.16.30.10

object network server_outside
host 186.XX.XX.77


nat (dmz,inside) source static server_dmz server_outside destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda

Avisame si funciono, saludos!.

Hola Matias

hice lo que mencionaste y no resulto :S

muchas gracias de antemano por tu ayuda

Hola, ¿en tu red tenes el default gateway para el firewall? Asi podemos confirmar que el trafico publico este yendo al firewall.

¿si ejecutas de nuevo el comando packet tracert te aplica el nat que pusiste o te sigue aplicando object network obj_any?

Con show nat podes ver los nateos configurados y el orden que tienen.

Saludos.-

Hola Matias

se me olvido un detalle, cuando ejecuto la instuccion de nat pierdo comunicacion

MacBook-Pro-de-Alvaro:~ asepulveda$ telnet 172.16.30.10 80
Trying 172.16.30.10...
telnet: connect to address 172.16.30.10: Operation timed out
telnet: Unable to connect to remote host

MacBook-Pro-de-Alvaro:~ asepulveda$ telnet 186.XX.XX.77 80
Trying 186.XX.XX.77...
telnet: connect to address 186.XX.XX.77: Operation timed out
telnet: Unable to connect to remote host

el firewall es el default gateway de ambas redes (en la red interna y en la DMZ)

interface Ethernet0/1
 nameif inside
 security-level 100
 ip address CISCO_ASA 255.255.255.0

object network CISCO_ASA
 host 10.0.18.1

object network Mac-Alvaro-Sepulveda
 host 10.0.18.112

interface Ethernet0/3.2002
 description DMZ_77
 vlan 2002
 nameif DMZ
 security-level 45
 ip address 172.16.30.9 255.255.255.248

object network SRV_IP-EXT
 host 186.XX.XX.77

object network SRV-ip-interna
 host 172.16.30.10

efectivamente esta tomando el obj_any

Phase: 4
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj_any
 nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate Mac-Alvaro-Sepulveda/1234 to IP_Publica_74/1234

Phase: 5
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

en el show nat esta lo siguiente:

Manual NAT Policies (Section 1)

..

...

..

20 (DMZ_77) to (inside) source static srv-ip-interna SRV_IP-EXT   destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda
    translate_hits = 0, untranslate_hits = 0

Auto NAT Policies (Section 2)

....

...

....

18 (inside) to (outside) source dynamic obj_any interface  
    translate_hits = 392359, untranslate_hits = 32786

# sh nat | i obj_any
18 (inside) to (outside) source dynamic obj_any interface 

Bueno, de a poco nos vamos a acercando :)  Hay que subile la prioridad al nat que hicimos:

no nat (dmz,inside) source static server_dmz server_outside destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda

nat (dmz,inside) 1 source static server_dmz server_outside destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda

Despues proba el packet tracert de nuevo.

Saludos.-

Como le cambio la prioridad?

Pero de todas maneras creo que lo toma, por que cuando lo hago pierdo comunicacion...

alvaro

nat (dmz,inside) source static srv-ip-interna SRV_IP-EXT destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda

Lo que hace este NAT es que el server de la DMZ sea accesible desde la LAN por medio de la IP publica. Es por esto que no te funciona el telnet 172.16.30.10 80 cuando lo ejecutas desde la LAN.

El problema aca es que cuando ejecutas telnet 186.XX.XX.77 80 el trafico esta yendo de la inside a la outside porque está aplicando el nat del obj_any.


Lo que tenes que hacer es poner el NAT con una posicion mejor que la del obj_any, para asegurarnos pone 1

nat (dmz,inside) 1 source static srv-ip-interna SRV_IP-EXT destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda

Proba el packet tracert para ver que este aplicando el nat correcto.

¿El server de la dmz lo estas publicando en la outside tambien?

Saludos.-

Muchas gracias matias por tu ayuda. esto funciono.

disculpa por no haber respondido antes.

adicionalmente para complementar he tenido que hacer 2 reglas para que funcione una desde inside y otra desde el outside :)

Excelente! Que bueno que se haya solucionado el tema.

Lo de las reglas es raro, porque el firewall trabaja statefull por lo que no es necesario configurar reglas en cada interface. Las ACL se configuran desde donde se inicia la conexion (si esta asociadad a inbound).

Saludos y gracias por la calificación.

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: