URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23729
[ Назад ]

Исходное сообщение
"Cisco ASA внешний IP"
Отправлено Aspir , 25-Апр-12 14:53

Есть Cisco ASA 5510

На ней две сети:
Сеть интернет провайдера:
interface Ethernet0/1.10
vlan 10
nameif Sigma
security-level 0
ip address 172.50.0.25 255.255.0.0
Сеть внутренних серверов:
interface Ethernet0/2
nameif DMZ
security-level 100
ip address 195.191.131.249 255.255.255.240
Настройки нат:
nat (Sigma) 0 access-list Sigma_nat0_outbound
nat (DMZ) 0 access-list DMZ_nat0_outbound_1
nat (DMZ) 0 access-list DMZ_nat0_outbound outside
Аксесс-листы:
access-list DMZ_nat0_outbound extended permit ip 195.191.131.240 255.255.255.240 any
access-list Sigma_nat0_outbound extended permit ip any 195.191.131.240 255.255.255.240
access-list DMZ_nat0_outbound_1 extended permit ip 195.191.131.240 255.255.255.240 172.50.0.0 255.255.0.0
IP адреса сети DMZ все внешние. IP сети Sigma серые.
Сейчас всё серверы в сети DMZ нормально нормально пингуются из интернета. Однако сама циска 195.191.131.249 пинговаться не хочет.
Дело не в пинге конечно. Просто есть необходимость поднимать Site-to-site тунели к этой же циске, и не понятно как к ней получить доступ с внешки.
Какие настройки еще сделать, чтоб циска обрабатывала запросы которые к ней приходят по внешнему IP?

Содержание

Cisco ASA внешний IP,sTALK_specTrum, 09:19 , 26-Апр-12
- Cisco ASA внешний IP,Aspir, 09:24 , 26-Апр-12

Сообщения в этом обсуждении

"Cisco ASA внешний IP"
Отправлено sTALK_specTrum , 26-Апр-12 09:19

> IP адреса сети DMZ все внешние. IP сети Sigma серые.
> Сейчас всё серверы в сети DMZ нормально нормально пингуются из интернета. Однако
> сама циска 195.191.131.249 пинговаться не хочет.
А и не будет она пинговаться и вообще пакеты пускать на интерфейс "не с той стороны". Фича такая.
> Дело не в пинге конечно. Просто есть необходимость поднимать Site-to-site тунели к
> этой же циске, и не понятно как к ней получить доступ
> с внешки.
> Какие настройки еще сделать, чтоб циска обрабатывала запросы которые к ней приходят
> по внешнему IP?
Попросить прова, пусть он натирует твой внешний 172.50.0.25 во что-то реальное. Пусть даже в 195.191.131.249 - сработает, но опять-таки не для каждого IPSec'а, поскольку на противоположной стороне железяка может сильно удивиться: как так, пакет приходит с реального IP, а внутри identity 172.50.0.25...
Например у меня в точно такой же ситуации (Static NAT для внешнего IP ASA) Site-to-site VPN с ней строили обычные Cisco с разными IOS, один LinkSys старой модели, а вот LinkSys RVS4000 уже не хотел из-за этой разницы.

"Cisco ASA внешний IP"
Отправлено Aspir , 26-Апр-12 09:24

>[оверквотинг удален]
>> Какие настройки еще сделать, чтоб циска обрабатывала запросы которые к ней приходят
>> по внешнему IP?
> Попросить прова, пусть он натирует твой внешний 172.50.0.25 во что-то реальное. Пусть
> даже в 195.191.131.249 - сработает, но опять-таки не для каждого IPSec'а,
> поскольку на противоположной стороне железяка может сильно удивиться: как так, пакет
> приходит с реального IP, а внутри identity 172.50.0.25...
> Например у меня в точно такой же ситуации (Static NAT для внешнего
> IP ASA) Site-to-site VPN с ней строили обычные Cisco с разными
> IOS, один LinkSys старой модели, а вот LinkSys RVS4000 уже не
> хотел из-за этой разницы.
Ясно. Видимо прийдётся перед циской маршрутизатор воткнуть и на нём внешние адреса разрулить. Есть тут 841 цисочка, думаю её хватит для этого.
Спасибо.