ASA NAT pre 8.3 - wyjątek dla Static NAT

[dante999]

Cześć,

Mam taki case na ASA 5550 Version 8.2(5).

Wystawiony jest serwer do świata (kontrola ACL'ką na wejściu outside):

Kod: Zaznacz cały

static (inside,outside) 1.1.1.1 10.10.10.10 netmask 255.255.255.255

Ta ASA spięta jest IPSec'iem z inną po interfejsie outside.

I teraz pytanie, jak zrobić wyjątek w NAT dla takiej komendy (dla takiego statyka) żeby utrzymać komunikację między serwerem a lokalizacją po drugiej stronie IPSec'a, tj żeby ruch pchany w tunel nie był NAT'owany - bo domyślam się że nat(inside) 0 raczej nie zadziała.

[LukaszM]

Musisz stworzyc regule nat exempt (nat 0) dla ruchu pomiedzy serwerem a lokalizacją po drugiej stronie IPSec'a.
NAT 0 jest sprawdzany na samym poczatku wiec translacja statyczna nie bedzie miala miejsca.

[dante999]

Ok, dzięki.

Czyli rozumiem, że taki wpis (przy założeniu, że po drugiej stronie jest 10.10.20.0/24):

Kod: Zaznacz cały

access-list noNAT extended permit ip host 10.10.10.10 10.10.20.0 255.255.255.0
nat (inside) 0 access-list noNAT

załatwi sprawę.

I podsumowując nat exemption w tej formie 'dynamicznej' działa również na wpisy statyczne.

[horac]

Ok, dzięki.
I podsumowując nat exemption w tej formie 'dynamicznej' działa również na wpisy statyczne.

Oczywiscie ze NIE, napisal Ci przeciez kolega ze reguly NATowe sa realizowane w okreslony zalozony sposob. Oczywiscie wszelkie wpisy satyczne maja priorytet nad dynamicznymi, ale NAT 0 ma priorytet nad kazdym wpisem NAT. Jesli zlapiesz ACLka sieci przez NAT 0 ktore pokrywaja sie z jakimis wpisami w innych politykach NAT, to zawsze zostanie wywolany NAT 0

Podusmowujac NAT exempt lapie po prostu okreslony ruch i nie pozwala na wywolanie NAT dla niego. Nie ma to nic wspolnego z dynamicznym czy statycznym wpisem. Traktuj NAT 0 jako zdefiniowanie ruchu ktory ma nie zostac poddany NAT