ASA 5510 - NAT su un indirizzo non assegnato

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
marktps
n00b
Messaggi: 3
Iscritto il: mer 23 giu , 2010 4:42 pm

Ciao a tutti, questa la struttura:

Cliente Remoto
|
|
MPLS VPN
|
|
Router (ISP, non posso fare variazioni)
192.168.253.177 (Gateway MPLS)
|
|
192.68.253.190 (Interfaccia ASA)
Firewall ASA 5510 (192.168.253.178 - Indirizzo non assegnato a nessuna interfaccia
| da nattare verso DMZ)
|
|
Dmz
|
Host 10.31.31.31

Il cliente remoto deve poter puntare su un indirizzo che fa parte della rete lato MPLS che deve essere girato verso la DMZ.
Nell'esempio il cliente remoto punta su 192.168.253.178 che non è assegnato a nessuna interfaccia ma che il firewall deve nattare verso l'host nella DMZ.
E' una cosa fattibile?
CCNA
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Ciao, se ho capito bene vuoi nattare un indirizzo "gestito" da un'altro router/apparato giusto?
Perchè in questo caso che sappia io non riesci. Puoi nattare un indirizzo che l'asa gestisce in una delle sue interfacce non qualcosa di esterno che lui vede solo transitare. Forse, ma non saprei come farlo, potresti guardare con la route map se riesci a fare qualcosa in quel senso.

Rizio
Si vis pacem para bellum
Avatar utente
rain3
Network Emperor
Messaggi: 266
Iscritto il: gio 31 lug , 2008 4:55 pm
Località: Battipaglia (SA)

Puoi nattare con un ip non gestito direttamente dalle interfacce dell'asa , che versione è l'asa ?
CCNA 640-802
CCNP SWITCH 642-813
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

rain3 ha scritto:Puoi nattare con un ip non gestito direttamente dalle interfacce dell'asa , che versione è l'asa ?
A questo punto sono curioso anch'io :) :) :) Lurko volentieri :D

Rizio
Si vis pacem para bellum
Avatar utente
rain3
Network Emperor
Messaggi: 266
Iscritto il: gio 31 lug , 2008 4:55 pm
Località: Battipaglia (SA)

Con versione 9.1 .
Natta con l'ip dell'interfaccia
object network NAT_INTERNET
nat (inside,outside) dynamic interface

Natta con l'ip che definisci
object network DINAMICO
nat (inside,outside2) dynamic 10.254.x.x

Se mi ricordo bene dalla versione 8.4 all 9.0 si porta dietro un bug sul nat .
Con le versioni < della 8.4 non sono invece riuscito ad attuare una config del genere .
CCNA 640-802
CCNP SWITCH 642-813
Rispondi