CCIE.pl

site 4 CCIE wannabies
https://ccie.pl/

Transparent i Routed ASA + dodatkowy zakres adresacji WAN

https://ccie.pl/viewtopic.php?f=44&t=23282

Strona 1 z 1

Transparent i Routed ASA + dodatkowy zakres adresacji WAN

: 09 mar 2017, 14:55
autor: drake
Hej,

taki scenariusz:
Router ISP z adresem sieci 80.x.x.1/29, podlaczony do ASA-1 (transparent) majaca adres bvi 80.x.x.2/29 i potem ASA-2 majaca na WAN (outside) adres 80.x.x.3/29 i realizujaca NAT 1-to-1 dla kilku wolnych IP z puli 80.x.x.4-6/29 do wewnetrznych serwerow. Wszystko dziala OK. Teraz sytuacja jest taka, ze klient potrzebuje udostepnic kolejny serwis dostepny z internetu, wiec zamowil nowy zakres publicnych IP, powiedzmy 60.x.x.x /28 uruchomiony jako "secondary" na interfejsie routera ISP. Czy przepuszczenie ruchu w filtrach IP na ASA-1 (transparent) do ASA-2 (routed) gdzie bylby realizowany NAT 1-do-1 dla serwera chcacego uzyc np. 60.x.x.5 /28 jest mozliwe? Czy ASA-1 przepusci ruch z dodatkowo routowanego zakresu, o ktrorym nie wie z mgmt punktu widzenia?

Dzieki z gory za konkretny feedback.

Pozdruffka! :)

Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN

: 09 mar 2017, 18:27
autor: PatrykW
1. Jak wyglada routing ?
2. packet-tracer det ?

Dasz rade narysowac fizyczna topologie jak pudelka sa zapiete ?
ASA trzyma stany pakietow, wiec pierwsze co zrobi to sprawdzi czy ma taka ACL ?

Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN

: 10 mar 2017, 12:56
autor: drake
Hej,

ISP router -- ASA-1 (transparent) -- switch vlan (dmz) -- ASA-2 (routed) -- LAN;

Tak sa urzadzenia polaczone fizycznie. Routing na ASA-1 i ASA-2 wg mnie nie gra roli, aktualnie ustawione wszystko na GW czyli router ISP z adresacji 80.x.x.x.
ASA-1 ma BVI1 do ktorego naleza dwa fizyczen interfejsy, to tyle. ACL istnieja na ASA-1 i -2, zezwalaja na ruch nowego zakresu IP 60.x.x.x.x. Na ASA-2 ustawilem NAT/PAT itp. jak potrzeba dla nowego zakresu i widze cos tam idzie z LAN, ale zero pakietow na ASA-1. Pytanie czy nie bedzie potrzebna druga bridge-group na ASA-1...

Pozdruffka!

Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN

: 13 mar 2017, 09:46
autor: drake
I jak, nikt nie mial do czynienia z takim scenariuszem? ;)

Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN

: 13 mar 2017, 12:52
autor: PatrykW
drake pisze:I jak, nikt nie mial do czynienia z takim scenariuszem? ;)
Heja,

Czyli chcesz zrobic NAT na ASA, adresem IP ktory na ASA nie istnieje, oraz nastepnie wypchnac to do drugiej ASA, czy dobrze zrozumialem ?
Porob obiekty, ASA bedzie trzymac stany dla tych pakietow, powod dlaczego sie pytalem o routing, w momencie kiedy dojdzie do komunikacji, "cos" do ASA musi odpowiedziec.

object network jakiscustomer-RFC1918
nat (jakiscustomer,outside) static 60.x.x.x /28 service tcp serwis-ktory-chce-customer #

Po tym daj packet tracer, moze tez warto by bylo zlapac pare pakietow hmm?

Re: Transparent i Routed ASA + dodatkowy zakres adresacji WAN

: 15 mar 2017, 13:05
autor: drake
Hej,

zajrzalem dzis ponownie do tego i jednak dziala, mialem blad w konfiguracji NAT dla tego hosta ktory powinien dostac publiczny adres IP z nowego zakresu. Wszystko smiga ze static NAT 1-to-1. Dzieki za wklad i poswiecony czas. Routing i ACLki mialem ustawione poprawnie na obu firewallach.

Pozdruffka! :)
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl