ASA outside traffic redirect

Wiadomość

stavros · #1

Witam,

mam następujący scenariusz, który próbuję wdrożyć.

Lokalizajca Stara:
Outside 200.200.200.0/24 (Public)
Inside 10.10.10.0/24 (Private)
DMZ 100.100.100.0/24 (Public)

Lokalizacja Nowa:
Outside 300.300.300.0/24 (Private)
Inside 20.20.20.0/24 (Private)

W lokalizacji Starej znajduje się serwer, do którego dostają się klienci z Internetu. Dostają się przez interface Outside na NAT-a 100.100.100.12 -> 10.10.10.12. Wszystko działa i problemu nie ma. Teraz mamy sytuację, że przenosimy serwer do lokalizacji Nowej, w której to będzie on dostępny przez NAT-a 300.300.300.12 -> 20.20.20.12. Dostęp do 300.300.300.12 działa i problemu nie ma

Jest jednak wymaganie, że stary adres publiczny 100.100.100.12 ma być również dostępny i kierować ruch do nowej lokalizacji na 300.300.300.12. Najprościej rzecz ujmując ruch z Outside ma wejść do ASY i zostać przekierowany do nowej lokalizacji na adres 300.300.300.12. Żeby nie było zbyt prosto, lokalizacje nie są ze sobą połączone (poza Internetm). Moje pytanie brzmi: czy taka konfiguracja ma prawo zadziałać ? Kombinowałem trochę z NAT-ami ale na niewiele się to zdało. Ruch wchodzi na interface OUTSIDE (widzę tylko SYN), tam mam skonfigurowanego NAT-a (OUTSIDE,OUTSIDE) ale niestety nie bardzo chce to całe rozwiązanie trybić. Ktoś ma jakiś pomysł co z tym fantem począć ?

Pozdr

bugi · #2

Hej,

Podejrzewam że nie natujesz adresu źródłowego na adresie intf outside (w starej lok. ) i otrzymujesz efekt że ruch dochodzi do serwera docelowego, ale już nie wraca przez "stara lokalizacje". Robiąc destination nata masz asymetryczny ruch, dodaj jeszcze nat source'a.
Pamiętaj także o

Kod: Zaznacz cały

same-security-traffic permit intra-interface

Pozdrawiam,

stavros · #3

Hej,

dzięki za podpowiedzi ale source nata juz mam i permit same interface traffic tez.

ruch powinien biec tak :

x.x.x.x -> 100.100.100.12
100.100.100.12 -> 300.300.300.12
100.100.100.12 -> 20.20.20.12

20.20.20.12 -> 100.100.100.12
300.300.300.12 -> 100.100.100.12
100.100.100.12 -> x.x.x.x

Pozdr

bugi · #4

Hej,

Jak masz nat skonfigurowany w starej lokalizacji ? Czy Syn dochodzi do nowej lokalizacji ? Co widać w logach ?

Pozdrawiam,

stavros · #5

W Starej mam :

x.x.x.x/64k -> 100.100.100.12/443 NAT na 100.100.100.12/64k -> 300.300.300.12/443

na interface outside mam tylko SYN, w nowej lokalizacji zero ruchu.

Pytanie fundamentalne, czy ktoś coś podobnego sobie wykombinował ? Czy to jest wogole do zrobienia ? Bo w sumie ASA to firewall a nie "traffic reflector"

Pozdr

czarli · #6

Hej!

Z tego co pamietam no na starszej wersji sie nie da tego zrobic bo sam probowalem.
Pozwinno zadzialac na 8.3+.

Generalnie najpelszym rozwiazaniem bedzie proxy server z ASA ktory zrobi redirect.

Pozdrawiam!

bugi · #7

Hej,

Na 8.3+ powinno zadziałać coś takiego:

Kod: Zaznacz cały

nat (outside,outside) source dynamic any interface destination static obj-100.100.100.12 obj-300.300.300.12

Adres docelowy 100.100.100.12 jest natowany na 300.300.300.12 (DST NAT) a source klienta natowany na interfejs outside.

Pozdrawiam,