Não é pedante, mas passar de WIRELESS para LAN não é um grampo quando o tráfego viaja de uma interface para outra. Um grampo seria de WIRELESS a WIRELESS ou de LAN a LAN - um problema totalmente mais desafiador do que o que você solicitou.
No entanto, para transmitir tráfego de WIRELESS para LAN:
- Como o WIRELESS tem
security-level 75
para% ssecurity-level 100
da LAN, certifique-se de ter uma ACL permitindo o tráfego dos IPs de origem reais no WIRELESS para os IPs reais na LAN. Independentemente do NAT, os IPs reais são usados no ASA 8.3 +. - Se você quiser usar os IPs públicos de serviços hospedados na LAN do WIRELESS, a maneira mais fácil é usar a palavra-chave
any
para a interface mapeada do NAT de objeto do servidor (por trás da interface LAN).
Exemplo:
! Define object for LAN network and Object NAT dynamic PAT
object network net-10.0.15.0-24
description LAN Network
subnet 10.0.15.0 255.255.255.0
nat (LAN,WAN) dynamic interface
! Define object for WIRELESS and Object NAT dynamic PAT
object network net-10.0.17.0-24
description WIRELESS Network
subnet 10.0.17.0 255.255.255.0
nat (WIRELESS,WAN) dynamic interface
! Define object for a server hosted in LAN, note the *any* in the Object NAT
object network hst-10.0.15.100
description Server on LAN
host 10.0.15.100
nat (LAN,any) static 1.2.3.4
! Tweak as needed -- permits WIRELESS to LAN due to security-level difference.
access-list WIRELESS_access_in extended permit ip object net-10.0.17.0-24 object net-10.0.15.0-24
! Beware of implicit deny at end, make sure to configure this ACL properly.
! May have to finish with a permit any any. Included below for reference.
access-list WIRELESS_access_in extended permit ip any any
! Apply the ACL to the interface
access-group WIRELESS_access_in in interface WIRELESS
Tenha muito cuidado ao usar a palavra-chave any
no NAT de objeto. Especialmente com PAT dinâmico e NAT dinâmico. Leia a Seção NAT do ASA 8.4 Configuration Guide