Hej,
taki scenariusz:
Router ISP z adresem sieci 80.x.x.1/29, podlaczony do ASA-1 (transparent) majaca adres bvi 80.x.x.2/29 i potem ASA-2 majaca na WAN (outside) adres 80.x.x.3/29 i realizujaca NAT 1-to-1 dla kilku wolnych IP z puli 80.x.x.4-6/29 do wewnetrznych serwerow. Wszystko dziala OK. Teraz sytuacja jest taka, ze klient potrzebuje udostepnic kolejny serwis dostepny z internetu, wiec zamowil nowy zakres publicnych IP, powiedzmy 60.x.x.x /28 uruchomiony jako "secondary" na interfejsie routera ISP. Czy przepuszczenie ruchu w filtrach IP na ASA-1 (transparent) do ASA-2 (routed) gdzie bylby realizowany NAT 1-do-1 dla serwera chcacego uzyc np. 60.x.x.5 /28 jest mozliwe? Czy ASA-1 przepusci ruch z dodatkowo routowanego zakresu, o ktrorym nie wie z mgmt punktu widzenia?
Dzieki z gory za konkretny feedback.
Pozdruffka!
Transparent i Routed ASA + dodatkowy zakres adresacji WAN
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN
1. Jak wyglada routing ?
2. packet-tracer det ?
Dasz rade narysowac fizyczna topologie jak pudelka sa zapiete ?
ASA trzyma stany pakietow, wiec pierwsze co zrobi to sprawdzi czy ma taka ACL ?
2. packet-tracer det ?
Dasz rade narysowac fizyczna topologie jak pudelka sa zapiete ?
ASA trzyma stany pakietow, wiec pierwsze co zrobi to sprawdzi czy ma taka ACL ?
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN
Hej,
ISP router -- ASA-1 (transparent) -- switch vlan (dmz) -- ASA-2 (routed) -- LAN;
Tak sa urzadzenia polaczone fizycznie. Routing na ASA-1 i ASA-2 wg mnie nie gra roli, aktualnie ustawione wszystko na GW czyli router ISP z adresacji 80.x.x.x.
ASA-1 ma BVI1 do ktorego naleza dwa fizyczen interfejsy, to tyle. ACL istnieja na ASA-1 i -2, zezwalaja na ruch nowego zakresu IP 60.x.x.x.x. Na ASA-2 ustawilem NAT/PAT itp. jak potrzeba dla nowego zakresu i widze cos tam idzie z LAN, ale zero pakietow na ASA-1. Pytanie czy nie bedzie potrzebna druga bridge-group na ASA-1...
Pozdruffka!
ISP router -- ASA-1 (transparent) -- switch vlan (dmz) -- ASA-2 (routed) -- LAN;
Tak sa urzadzenia polaczone fizycznie. Routing na ASA-1 i ASA-2 wg mnie nie gra roli, aktualnie ustawione wszystko na GW czyli router ISP z adresacji 80.x.x.x.
ASA-1 ma BVI1 do ktorego naleza dwa fizyczen interfejsy, to tyle. ACL istnieja na ASA-1 i -2, zezwalaja na ruch nowego zakresu IP 60.x.x.x.x. Na ASA-2 ustawilem NAT/PAT itp. jak potrzeba dla nowego zakresu i widze cos tam idzie z LAN, ale zero pakietow na ASA-1. Pytanie czy nie bedzie potrzebna druga bridge-group na ASA-1...
Pozdruffka!
Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN
I jak, nikt nie mial do czynienia z takim scenariuszem?
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN
Heja,drake pisze:I jak, nikt nie mial do czynienia z takim scenariuszem?
Czyli chcesz zrobic NAT na ASA, adresem IP ktory na ASA nie istnieje, oraz nastepnie wypchnac to do drugiej ASA, czy dobrze zrozumialem ?
Porob obiekty, ASA bedzie trzymac stany dla tych pakietow, powod dlaczego sie pytalem o routing, w momencie kiedy dojdzie do komunikacji, "cos" do ASA musi odpowiedziec.
object network jakiscustomer-RFC1918
nat (jakiscustomer,outside) static 60.x.x.x /28 service tcp serwis-ktory-chce-customer #
Po tym daj packet tracer, moze tez warto by bylo zlapac pare pakietow hmm?
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN
Hej,
zajrzalem dzis ponownie do tego i jednak dziala, mialem blad w konfiguracji NAT dla tego hosta ktory powinien dostac publiczny adres IP z nowego zakresu. Wszystko smiga ze static NAT 1-to-1. Dzieki za wklad i poswiecony czas. Routing i ACLki mialem ustawione poprawnie na obu firewallach.
Pozdruffka!
zajrzalem dzis ponownie do tego i jednak dziala, mialem blad w konfiguracji NAT dla tego hosta ktory powinien dostac publiczny adres IP z nowego zakresu. Wszystko smiga ze static NAT 1-to-1. Dzieki za wklad i poswiecony czas. Routing i ACLki mialem ustawione poprawnie na obu firewallach.
Pozdruffka!