один реальный ip, asa, nat, dmz, vpn s-t-s

Возникла не тривиальная задача, используя один реальный ip адрес необходимо настроить два устройства с доступом в сеть вроде как ничего сложного, но одно из устройств cisco asa а второе cisco router, и на cisco router необходимо агрегировать site-to-site vpn что cisco asa делает специфически, а перенастраивать вторую сторону vpn тоже на cisco router нельзя.

Вспомнили сразу за dmz, а нет нельзя на один ip повесить dmz, почитав документацию и покурив, мануал пришла мысль что cisco asa умеет делать nat какой только возможен и получили следующее.

Создали 3 vlan

interface Vlan1
nameif outside
security-level 0
ip address xxx.xxx.xxx.4 255.255.255.0

interface Vlan2
nameif inside
security-level 100
ip address yyy.yyy.yyy.1 255.255.255.0

interface Vlan3
nameif DMZ
security-level 50
ip address zzz.zzz.zzz.1 255.255.255.0

присвоили интерфейсам и теперь собственно сам nat

создаем object-ы

object network inside-networks
subnet yyy.yyy.yyy.0 255.255.255.0
description inside networks

object network dmz-router
host zzz.zzz.zzz.4
description cisco

object network dmz-network
subnet zzz.zzz.zzz.0 255.255.255.0
description dmz-network

object network dmz-router-servises
host zzz.zzz.zzz.4
description cisco-servises

и из каждого object-а, создаем свой нат

object network inside-networks
nat (inside,outside) dynamic interface

object network dmz-network
nat (DMZ,outside) dynamic interface

object network dmz-router-servises
nat (DMZ,outside) static interface

Получаем вывод

WARNING: All traffic destined to the IP address of the outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the outside interface.

И все заработало, трафик на реальный ip приходил на cisco router vpn поднялся красота.

Для справки из консоли легко запутаться и использовать вместо Network Object NAT. NAT Before Network Object, проще делать настройки nat из asdm используя предварительно настроенные Network Object тогда не ошибешься, так же если не нужно принимать все порты то за пример берите http://www.anticisco.ru/forum/viewtopic.php?f=2&t=5389&sid=1a17678150464e4e971080d3b3150266&start=25 тут с не стандартным портом и Network Object NAT.

Подводные камни nat надо делать из object network

А acl из другого object network здесь разрешаем порты на outside и помним что все порты в dmz закрыты на aca.

Хотя внутри ip одинаковые аса отказалась работать, как только сделали отдельные имена для nat и асl сразу взлетело. Может баг.

Тестировалось все на

asa # sh ver
Cisco Adaptive Security Appliance Software Version 8.4(7)
Device Manager Version 7.3(1)101
 
comments powered by Disqus