Transparent i Routed ASA + dodatkowy zakres adresacji WAN

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Transparent i Routed ASA + dodatkowy zakres adresacji WAN

#1

#1 Post autor: drake »

Hej,

taki scenariusz:
Router ISP z adresem sieci 80.x.x.1/29, podlaczony do ASA-1 (transparent) majaca adres bvi 80.x.x.2/29 i potem ASA-2 majaca na WAN (outside) adres 80.x.x.3/29 i realizujaca NAT 1-to-1 dla kilku wolnych IP z puli 80.x.x.4-6/29 do wewnetrznych serwerow. Wszystko dziala OK. Teraz sytuacja jest taka, ze klient potrzebuje udostepnic kolejny serwis dostepny z internetu, wiec zamowil nowy zakres publicnych IP, powiedzmy 60.x.x.x /28 uruchomiony jako "secondary" na interfejsie routera ISP. Czy przepuszczenie ruchu w filtrach IP na ASA-1 (transparent) do ASA-2 (routed) gdzie bylby realizowany NAT 1-do-1 dla serwera chcacego uzyc np. 60.x.x.5 /28 jest mozliwe? Czy ASA-1 przepusci ruch z dodatkowo routowanego zakresu, o ktrorym nie wie z mgmt punktu widzenia?

Dzieki z gory za konkretny feedback.

Pozdruffka! :)
Never stop exploring :)

https://iverion.de

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN

#2

#2 Post autor: PatrykW »

1. Jak wyglada routing ?
2. packet-tracer det ?

Dasz rade narysowac fizyczna topologie jak pudelka sa zapiete ?
ASA trzyma stany pakietow, wiec pierwsze co zrobi to sprawdzi czy ma taka ACL ?
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN

#3

#3 Post autor: drake »

Hej,

ISP router -- ASA-1 (transparent) -- switch vlan (dmz) -- ASA-2 (routed) -- LAN;

Tak sa urzadzenia polaczone fizycznie. Routing na ASA-1 i ASA-2 wg mnie nie gra roli, aktualnie ustawione wszystko na GW czyli router ISP z adresacji 80.x.x.x.
ASA-1 ma BVI1 do ktorego naleza dwa fizyczen interfejsy, to tyle. ACL istnieja na ASA-1 i -2, zezwalaja na ruch nowego zakresu IP 60.x.x.x.x. Na ASA-2 ustawilem NAT/PAT itp. jak potrzeba dla nowego zakresu i widze cos tam idzie z LAN, ale zero pakietow na ASA-1. Pytanie czy nie bedzie potrzebna druga bridge-group na ASA-1...

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN

#4

#4 Post autor: drake »

I jak, nikt nie mial do czynienia z takim scenariuszem? ;)
Never stop exploring :)

https://iverion.de

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN

#5

#5 Post autor: PatrykW »

drake pisze:I jak, nikt nie mial do czynienia z takim scenariuszem? ;)
Heja,

Czyli chcesz zrobic NAT na ASA, adresem IP ktory na ASA nie istnieje, oraz nastepnie wypchnac to do drugiej ASA, czy dobrze zrozumialem ?
Porob obiekty, ASA bedzie trzymac stany dla tych pakietow, powod dlaczego sie pytalem o routing, w momencie kiedy dojdzie do komunikacji, "cos" do ASA musi odpowiedziec.

object network jakiscustomer-RFC1918
nat (jakiscustomer,outside) static 60.x.x.x /28 service tcp serwis-ktory-chce-customer #

Po tym daj packet tracer, moze tez warto by bylo zlapac pare pakietow hmm?
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN

#6

#6 Post autor: drake »

Hej,

zajrzalem dzis ponownie do tego i jednak dziala, mialem blad w konfiguracji NAT dla tego hosta ktory powinien dostac publiczny adres IP z nowego zakresu. Wszystko smiga ze static NAT 1-to-1. Dzieki za wklad i poswiecony czas. Routing i ACLki mialem ustawione poprawnie na obu firewallach.

Pozdruffka! :)
Never stop exploring :)

https://iverion.de

ODPOWIEDZ