Roteamento ASA da Cisco, gancho de cabelo?

3

Cisco ASA 5505, 8.4.3

  1. LAN: 10.0.15.0, nível de segurança 100
  2. WIRELESS: 10.0.17.0, nível de segurança 75
  3. WAN: nível de segurança 0

Na interface WIRELESS, preciso acessar os servidores na LAN. O problema é que o tráfego WIRELESS sai pela WAN1 e não volta para a LAN. Para resolver esse problema na LAN, simplesmente criei entradas DNS para os servidores apontarem para os IPs da LAN. Isso não é possível na interface WIRELESS porque ele usa servidores DNS externos. Eu gostaria que a interface WIRELESS usasse IPs externos e passasse pelo firewall.

Que informações adicionais devo postar para ajudar a encontrar uma solução para esse problema?

    
por nick 15.03.2012 / 21:13

1 resposta

2

Não é pedante, mas passar de WIRELESS para LAN não é um grampo quando o tráfego viaja de uma interface para outra. Um grampo seria de WIRELESS a WIRELESS ou de LAN a LAN - um problema totalmente mais desafiador do que o que você solicitou.

No entanto, para transmitir tráfego de WIRELESS para LAN:

  • Como o WIRELESS tem security-level 75 para% s security-level 100 da LAN, certifique-se de ter uma ACL permitindo o tráfego dos IPs de origem reais no WIRELESS para os IPs reais na LAN. Independentemente do NAT, os IPs reais são usados no ASA 8.3 +.
  • Se você quiser usar os IPs públicos de serviços hospedados na LAN do WIRELESS, a maneira mais fácil é usar a palavra-chave any para a interface mapeada do NAT de objeto do servidor (por trás da interface LAN).

Exemplo:

! Define object for LAN network and Object NAT dynamic PAT
object network net-10.0.15.0-24
 description LAN Network
 subnet 10.0.15.0 255.255.255.0
 nat (LAN,WAN) dynamic interface

! Define object for WIRELESS and Object NAT dynamic PAT
object network net-10.0.17.0-24
 description WIRELESS Network
 subnet 10.0.17.0 255.255.255.0
 nat (WIRELESS,WAN) dynamic interface

! Define object for a server hosted in LAN, note the *any* in the Object NAT
object network hst-10.0.15.100
 description Server on LAN
 host 10.0.15.100
 nat (LAN,any) static 1.2.3.4

! Tweak as needed -- permits WIRELESS to LAN due to security-level difference.
access-list WIRELESS_access_in extended permit ip object net-10.0.17.0-24 object net-10.0.15.0-24
! Beware of implicit deny at end, make sure to configure this ACL properly.
! May have to finish with a permit any any.  Included below for reference.
access-list WIRELESS_access_in extended permit ip any any

! Apply the ACL to the interface
access-group WIRELESS_access_in in interface WIRELESS

Tenha muito cuidado ao usar a palavra-chave any no NAT de objeto. Especialmente com PAT dinâmico e NAT dinâmico. Leia a Seção NAT do ASA 8.4 Configuration Guide

    
por 16.03.2012 / 05:35