Força o Cisco ASA a mudar a porta de origem NAT

1

Eu tenho dois dispositivos, um Cisco ASA e um outro dispositivo. O Cisco e o outro dispositivo têm túneis IPsec, mas em locais diferentes. Eu preciso garantir que a porta de origem do outro dispositivo não é UDP-500 quando é NAT, já que é a mesma porta que o serviço IPsec da Cisco e, portanto, vemos um problema em que os pacotes de resposta destinados ao outro dispositivo acertar o ASA.

De acordo com a FAQ da Cisco sobre NAT ( link ) ele preserva a porta sempre que possível por padrão com base em" Q. Ao configurar para PAT (sobrecarga), qual é o número máximo de traduções que podem ser criadas por dentro do endereço IP global? "

Pergunta: Como posso forçar todos os mapeamentos PAT a usar portas de origem > 1024?

Alternativamente, como posso forçar o ASA a ignorar os pacotes IPsec de um endereço IP específico e apenas tratá-los como os pacotes normais NAT e encaminhá-los de volta para o dispositivo interno?

No iptables linux, eu usaria algo como: iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT - para-source x.x.x.x: 1024-30000

    
por Mike 21.11.2014 / 10:17

1 resposta

0

Resolvido por outro meio, desativando o acesso IPsec na Cisco para os IPs com os quais o dispositivo interno está se comunicando. Isso via lista de acesso ao plano de controle:

ciscoasa(config)# access-list FILTER-VPN deny ip x.x.x.x y.y.y.y any

ciscoasa(config)# access-list FILTER-VPN permit ip any any

ciscoasa(config)# access-group FILTER-VPN in interface outside control-plane

(Fonte: link )

    
por 28.11.2014 / 14:31