Toon posts:

ASA 5510 (source) routing probleem

Pagina: 1
Acties:

donderdag 22 februari 2007 13:51

Acties:
  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 19-02 17:01

bazkar

Topicstarter
Ik heb een Cisco ASA 5510 met een drietal actieve interfaces:

192.168.1.0/24 op het inside interface
10.0.0.1 op outside interface 1 (internet lijn 1)
10.0.1.1 op outside interface 2 (internet lijn 2)

Nu wil ik het voor elkaar krijgen dat al het netwerkverkeer over lijn 1 naar buiten gaat (static route 0.0.0.0 0.0.0.0 10.0.0.1). Tot zover geen probleem.

Ik wil echter dat van 1 host (zeg 192.168.1.100) al het verkeer over internet lijn 2 naar buiten gaat.
Ik dacht dit op te lossen door dit adres static op het outside adres van lijn 2 te NATten 10.0.1.1, maar volgens de mooie packet tracer heeft dit geen enkele zin en gaat het verkeer vrolijk alsnog over lijn1 naar buiten (met het source IP van lijn 2 weliswaar, maar dat schiet dus niet op).

Ik heb geprobeerd om een en ander te vinden over source routing (wat ik dus eigenlijk wil), maar het ziet er naar uit dat ook tussenliggende apparaten dit moeten 'snappen' omdat het in het pakket verstopt zit.

Is er een mogelijkheid om dit te configureren? Misschien met extra adressen op de inside interface?

donderdag 22 februari 2007 17:50

Acties:
  • MeatGrinder
  • Registratie: Juni 2000
  • Laatst online: 03-10-2025

MeatGrinder

Ik denk dat je een type fout hebt in je default route, je geeft als next-hop adres 10.0.0.1 op terwijl je eerde aangeeft dat dit adres gebruikt wordt op 'outside interface 1'. Dat gaat niet werken.

Verder geloof ik niet dat dit probleem oplosbaar is op een ASA door het ontbreken van mogelijkheden tot policy-routing. Op een IOS-based systeem is het vrij eenvoudig om te doen wat je wilt dmv van route-maps.

vrijdag 23 februari 2007 07:17

Acties:
  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 19-02 17:01

bazkar

Topicstarter
Dank je voor de reply, je had gelijk wat betreft de typo in de default route, dat had moeten zijn:

static route 0.0.0.0 0.0.0.0 10.0.0.2

Ik heb me andermaal enorm ingelezen in alles omtrent PIX/ASA's en ben erachter gekomen dat je gelijk hebt. De enige manier om dit op een ASA te doen blijkt om met 2 contexten werken. Dan ben je echter wel de VPN functionaliteit van het apparaat kwijt :(

Op zoek naar een andere oplossing dan maar.

vrijdag 23 februari 2007 09:35

Acties:
  • tech-notes
  • Registratie: Mei 2006
  • Laatst online: 17-04-2023

tech-notes

Volgens mij kan je moet dit wel mogelijk zijn icm statics

je gebruikt PAT op het 1e int ip adres.
tevens gooi je een aparte static voor de enkele host.

Op deze manier zou je ook een mailserver naar buiten kunnen laten babbelen over een ander ip adres.

https://www.tech-notes.nl

zondag 25 februari 2007 11:06

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 14:21

Predator

Suffers from split brain

tech-notes schreef op vrijdag 23 februari 2007 @ 09:35:
Volgens mij kan je moet dit wel mogelijk zijn icm statics

je gebruikt PAT op het 1e int ip adres.
tevens gooi je een aparte static voor de enkele host.

Op deze manier zou je ook een mailserver naar buiten kunnen laten babbelen over een ander ip adres.
Het probleem bestaat bij het uitgaande packet, dat volgt de algemene routing regels en neemt gewoon de default route. De static N(P)AT rule werkt wel zoals de topicstarter zegt, zodat het source adres wel juist is (dat van internet lijn 2), maar gezien die de default route volgt gaat die via de internet lijn 1 interface naar buiten.

Wil je dat veranderen dat pas je de routing aan aan het source en destination adres, ofte policy routing. Ik ken bitter weinig van de PIX/ASA reeks maar gezien men hier aanhaalt dat dit niet gesupporteerd is houdt het snel op.

Wellicht is ook VRF-lite niet gesupporteerd op een ASA ?
Met een extra local interface was daar wel nog iets mee te doen.

Je zou wel daar een router met een extra ethernet interface (2+1) kunnen zetten ipv de ASA en de ASA er dan achter.
Aangezien je toch maar 1 inside interface hebt kan je daar nog altijd netjes filteren neem ik aan ...

Everybody lies | BFD rocks ! | PC-specs

zondag 25 februari 2007 16:23

Acties:
  • paella
  • Registratie: Juni 2001
  • Laatst online: 18:43

paella

Kan je niet NATten mbv ACLs?

No production networks were harmed during this posting

zondag 25 februari 2007 18:14

Acties:
  • tech-notes
  • Registratie: Mei 2006
  • Laatst online: 17-04-2023

tech-notes

Predator,

Een ASA/Pix kan op basis van source en port een andere STATIC hebben.

Zo kan je je mail over een ander ip verzenden en ontvang als het IP waarop je internet verkeer loopt.
En kan je bv vpn inkomend ook op een ander ip laten binnen komen.

Je moet hier uiteraard wel een internetlijn hebben met een aantal internetadressen
bv kpnoffice dsl

https://www.tech-notes.nl

zondag 25 februari 2007 20:59

Acties:
  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 19-02 17:01

bazkar

Topicstarter
tech-notes schreef op zondag 25 februari 2007 @ 18:14:
Predator,

Een ASA/Pix kan op basis van source en port een andere STATIC hebben.

Zo kan je je mail over een ander ip verzenden en ontvang als het IP waarop je internet verkeer loopt.
En kan je bv vpn inkomend ook op een ander ip laten binnen komen.

Je moet hier uiteraard wel een internetlijn hebben met een aantal internetadressen
bv kpnoffice dsl
Je bedoelt met behulp van contexts?
Anders zou ik niet weten hoe je een die route aan een source of port wilt 'koppelen'
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq