¿Cómo llego a mi servidor interno en la IP externa?

10

Estamos intentando configurar nuestro Cisco 5505, y se ha hecho a través de ASDM.

Hay un gran problema que no podemos resolver, y es cuando uno va de adentro hacia afuera y vuelve a entrar.

Por ejemplo, tenemos un servidor "dentro" y queremos poder llegar a este servidor con la misma dirección si estamos dentro o fuera.

El problema es agregar una regla que permita el tráfico de adentro hacia afuera y luego de nuevo.

Delantero
fuente
No hay forma de que podamos ayudarlo con tan poca información, los ASA son complejos, necesita un tipo de red para configurar esto para usted, de lo contrario, dejará de funcionar en el peor momento posible o será pirateado.
Chopper3
Fuera de tema: debe considerar actualizar ese ASA a una versión de software más nueva, ya que toda la documentación /
procedimientos
Pauska, lo pensamos e intentamos obtener el firmware más reciente, pero nos detuvimos porque parecía costar más, ¡pero quizás valga la pena!
Antes del

Respuestas:

17

El firewall ASA no puede enrutar el tráfico. Debe enmascarar la dirección interna contra la dirección externa.

Solución 1: cuidado de DNS con NAT estática

Digamos que la dirección IP de su sitio web externo es 1.2.3.4, que nuevamente se reenvía a través del puerto (o directamente NAT) a la dirección IP interna 192.168.0.10. Con DNS doctoring, sucederá lo siguiente:

  1. El cliente en el interior solicita http://www.companyweb.com , que originalmente se traduce en 1.2.3.4
  2. El ASA intercepta el paquete de respuesta de DNS y reemplaza el registro A con 192.168.0.10
  3. El cliente se pone muy contento, ya que ahora puede abrir el sitio web de la empresa :-)

Para obtener información más detallada sobre cómo habilitar esto: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Solución 2: servidor DNS interno

Este es útil si solo tiene una IP externa y reenvía esta IP a muchos servicios internos en diferentes servidores (Digamos que el puerto 80 y 443 va a 192.168.0.10, el puerto 25 va a 192.168.0.11, etc.).

No requiere ningún cambio de configuración en el ASA, pero requerirá que duplique su dominio externo en un servidor DNS interno (Active Directory lo tiene incorporado). Simplemente crea exactamente los mismos registros que tiene ahora, solo con IP internas en los servicios que tiene internamente.

"Solución" 3: interfaz DMZ con IP públicas

No voy a entrar en muchos detalles sobre esto, ya que requiere que obtenga una subred de direcciones IP de su ISP enrutada a su ASA. Es muy difícil en estos días con el hambre IPv4.

pauska
fuente
Buena respuesta. +1
Carlos Garcia
Muchas gracias por la buena respuesta, creo que iremos por el sistema interno de DNS. Y considerando la compra de una actualización en el ASA
Fore
1
Me di cuenta de que el n. ° 1 funciona muy bien si tengo un mapa de inspección de DNS. En los firewalls ASA donde no tenía el mapa de inspección, esto falló (también fixup protocol dnsfunciona). Gracias por hacerme investigar esto más a fondo.
ewwhite
3

Como otras preguntas similares se marcan como duplicados con una referencia aquí, deseo complementar la excelente respuesta de @pauska con una cuarta opción.

Solución 4: enrutar el tráfico a través de NAT Hairpinning

Permitir que el tráfico regrese a través de una interfaz en un dispositivo Cisco PIX / ASA, como cuando un cliente nat: ed accede a un servidor nat: ed a través de su IP pública, Cisco lo llama NAT Hairpinning.

Utiliza esencialmente los mismos parámetros de configuración que de costumbre para el reenvío de puertos y nat, pero con la adición de este comando:

same-security-traffic permit intra-interface

y una segunda asignación estática para el tráfico de adentro hacia adentro del servidor:

static(inside,inside) i.i.i.i x.x.x.x

Esto se describe en detalle completo con un ejemplo de configuración aquí para un diseño de dos interfaces: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

Y aquí hay una alternativa de Destination NAT para un diseño de tres interfaces: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

ErikE
fuente
1

No puede acceder a la interfaz externa en un Pix / ASA desde adentro. Debe redirigir las solicitudes de DNS para la dirección externa del servidor a la dirección interna.

ewwhite
fuente