Al enkele dagen ben ik aan het stoeien met een Cisco ASA 5505 standaard licentie welke ik simpelweg niet juist geconfigureerd krijg.
Scenario:
Ik heb een /27 netwerk range, laten we zeggen 195.100.100.64/27 verkregen van de ISP.
Intern heb ik een 7 tal servers in de netwerk range 192.168.2.0 /24
De router heeft als intern IP adres 192.168.2.1
De ASA 5505 heeft 1 outside VLAN (2) op poort 0.
Er is 1 inside VLAN (1) op de poorten 1 t/m 7.
De servers zijn aangesloten op de poorten 1 t/m 7, de ISP op poort 0.
Configuratie van beide poorten is gedaan.
Ik kan vanaf de ASA 5505 dan ook succesvol pingen en tracen inclusief DNS translatie.
Gewenste situatie:
Iedere server moet een eigen publiek IP adres krijgen:
192.168.2.10 <-> 195.100.100.70
192.168.2.11 <-> 195.100.100.71
Intern moeten alle servers toegang hebben tot internet, echter, ik wil kunnen reguleren welke services dit zijn (DNS, HTTP, HTTPS, FTP, enz). Buitenaf moet er toegang zijn tot de servers echter ook hier wil ik per server de services/poorten kunnen reguleren.
Tot dusver gedaan:
Ik gebruik ASDM 5.2 om verbinding te maken met de ASA en te configureren.
NAT configuratie ingesteld:
statische nat met als source 192.168.2.10, service ip, translated to interface outside met het adres 195.100.100.70 eveneens service ip. Dit om ter test al het IP verkeer van en naar deze server te vertalen.
Eveneens een security policy gemaakt:
Inside interface: source any, destination any, service IP toestaan. Dit om het interne verkeer naar de outside interface toe te staan.
In de outside interface een security policy aangemaakt voor :
source any, destination 195.100.100.70 , service IP action permit.
Echter dit werkt niet juist. De server zelf kan bijvoorbeeld geen DNS query uitvoeren en eveneens is de server ook niet van buitenaf te bereiken. In het ASDM syslog zie ik wel opbouw van connecties maar deze worden na enkele seconden weer afgebroken (teardown).
Waarom dit niet werkt is mij niet duidelijk. Vele voorbeeld configuraties op de Cisco website en daarbuiten bieden wel inzicht maar geen oplossing. Kan iemand wat 'pointers' geven waar ik verder in kan duiken ?
Scenario:
Ik heb een /27 netwerk range, laten we zeggen 195.100.100.64/27 verkregen van de ISP.
Intern heb ik een 7 tal servers in de netwerk range 192.168.2.0 /24
De router heeft als intern IP adres 192.168.2.1
De ASA 5505 heeft 1 outside VLAN (2) op poort 0.
Er is 1 inside VLAN (1) op de poorten 1 t/m 7.
De servers zijn aangesloten op de poorten 1 t/m 7, de ISP op poort 0.
Configuratie van beide poorten is gedaan.
Ik kan vanaf de ASA 5505 dan ook succesvol pingen en tracen inclusief DNS translatie.
Gewenste situatie:
Iedere server moet een eigen publiek IP adres krijgen:
192.168.2.10 <-> 195.100.100.70
192.168.2.11 <-> 195.100.100.71
Intern moeten alle servers toegang hebben tot internet, echter, ik wil kunnen reguleren welke services dit zijn (DNS, HTTP, HTTPS, FTP, enz). Buitenaf moet er toegang zijn tot de servers echter ook hier wil ik per server de services/poorten kunnen reguleren.
Tot dusver gedaan:
Ik gebruik ASDM 5.2 om verbinding te maken met de ASA en te configureren.
NAT configuratie ingesteld:
statische nat met als source 192.168.2.10, service ip, translated to interface outside met het adres 195.100.100.70 eveneens service ip. Dit om ter test al het IP verkeer van en naar deze server te vertalen.
Eveneens een security policy gemaakt:
Inside interface: source any, destination any, service IP toestaan. Dit om het interne verkeer naar de outside interface toe te staan.
In de outside interface een security policy aangemaakt voor :
source any, destination 195.100.100.70 , service IP action permit.
Echter dit werkt niet juist. De server zelf kan bijvoorbeeld geen DNS query uitvoeren en eveneens is de server ook niet van buitenaf te bereiken. In het ASDM syslog zie ik wel opbouw van connecties maar deze worden na enkele seconden weer afgebroken (teardown).
Waarom dit niet werkt is mij niet duidelijk. Vele voorbeeld configuraties op de Cisco website en daarbuiten bieden wel inzicht maar geen oplossing. Kan iemand wat 'pointers' geven waar ik verder in kan duiken ?
:strip_icc():strip_exif()/u/264022/sharks_60x60.jpg?f=community)