ASA NAT

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

ASA NAT

#1

#1 Post autor: piter1789 »

Witam,

mam o to taki problem:
zakładamy scenariusz:

Router- ISP- Cisco ASA-LAN

i teraz tak: w mojej sieci LAN mam serwer poczty. Łącze się VPN RA do Router i w ramach tego połączenia mam adresację, dns i działający SPlit-tunel do sieci za tym routerem. I wszystko jest ok dopóki nie próbuję wysłać email.
BO wtedy dns z VPN RA odpowiada mi publicznym adresem z translacji z ASA i lipa..
Jak ustawić ASA, aby robiła Policy NAT i zamieniała mi ten ruch w taki sposób, że jak adres przychodzi z sieci LAN, a ma adres PUB to tak zamieni translację, że to zadziała;)

mam nadzieję, że zrozumiale napisane;)

PioFlo
fresh
fresh
Posty: 6
Rejestracja: 07 kwie 2015, 10:58

Re: ASA NAT

#2

#2 Post autor: PioFlo »

Ja sobie wewnatrz sieci stawiam DNS, ktory odpowiada mi na adres serwera poczty adresem prywatnym z sieci lokalnej. Dzieki temu nie musze kombinowac na nacie i serwer z zewnatrz odpowiada adresem publicznym, a wewnatrz (lub po polaczeniu VPN) odpowiada adresem prywatnym. Oczywiscie dla danej domeny musze miec 2 serwery dns (publiczny i prywatny).

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: ASA NAT

#3

#3 Post autor: piter1789 »

Ale ten DNS po drugiej stronie to nie mój DNS;)
tak jak piszesz, to ok;), ale w tym scenariuszu.

dante999
wannabe
wannabe
Posty: 54
Rejestracja: 26 mar 2015, 14:12

Re: ASA NAT

#4

#4 Post autor: dante999 »

Jeśli z LAN odwołujesz się na publiczny adres IP usługi wystawionej na ASA przez którą wychodzisz to pewnie potrzebujesz "cisco nat hairpinning". I wydaje mi się, że takie coś Ci pomoże:
https://supportforums.cisco.com/t5/fire ... ue#M120196

s2nt0
wannabe
wannabe
Posty: 129
Rejestracja: 10 mar 2011, 23:58
Lokalizacja: London

Re: ASA NAT

#5

#5 Post autor: s2nt0 »

A masz dostep do ASY ?
nie mowimy tutaj o DNS doctoring ?

Issue: Your internal clients tries to reach an internal server but since they resolves the address of the server from an external DNS-server they will get a public IP.

https://nat0.net/dns-doctoring-in-cisco-asa/

sorki, o tej porze juz nie kontaktuje xD
why we doing this ? because LAB told us to..

ODPOWIEDZ