Tengo un ASA5525-X con 9.1.2. En él hay varias interfaces, pero principalmente estoy mirando:
(subredes falsas)
- dentro de 10.0.0.0/24, nivel de seguridad 100
- fuera 10.0.200.0/24, nivel de seguridad 0
- DMZ 10.0.100.0/24, nivel de seguridad 50
Tengo un servidor DNS en DMZ, 10.0.100.1 al que puedo acceder desde adentro sin problemas. Sin embargo, quiero que aparezca como 10.0.200.95 (no una IP real para este ejemplo) para las personas en Internet. Tengo lo que pensé que era necesario para que esto funcione, pero cuando lo pruebo, los paquetes están siendo descartados por la acl predeterminada.
Piezas de configuración pertinentes:
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.0.200.194 255.255.255.192
interface GigabitEthernet0/6
nameif DMZ
security-level 50
ip address 10.0.100.254 255.255.255.0
interface GigabitEthernet0/7
nameif inside
security-level 100
ip address 10.0.0.254 255.255.255.0
object network DMZ-DNS-Server-1
host 10.0.100.1
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
object network DMZ-DNS-Server-1
nat (DMZ,outside) static 10.0.200.195 net-to-net
nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface
access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain
access-group traffic-in-outside in interface outside
¿Algunas ideas?
Respuestas:
Cambie su ACL para hacer referencia a la dirección real del servidor (10.0.100.1) en lugar de la dirección traducida (10.0.200.195). Este es otro cambio en 8.3+. Las ACL coinciden en direcciones reales.
fuente
Deberá configurar un NAT estático para hacer esto, ya que 8.3+ esto ha cambiado ligeramente, en 9 querrá hacerlo como:
fuente
packet-tracer
comando para emular un paquete que pasa por el ASA para ver dónde está fallando?