Cisco ASA, DNS Doctoring, maar dan op IP - Serversoftware en clouddiensten

donderdag 21 januari 2010 11:07

Acties:

Asjemenou?

Topicstarter

Hallo,

Bij een klant van ons heb zojuist DNS-Doctoring aangezet (internet adres via WAN-IP benaderen). Dit werkt allemaal prima omdat de pakketjes vertaald worden via een DNS-Rewrite.
Echter heeft de klant een applicance staan die niet via een dns-naam, maar keihard op een IP-adres wil connecten.
Hierin voorziet DNS-Rewrite dus niet.

In short:
Klant wil via WAN-IP het LAN-ip van een server benaderen.

Niet omdat het moet, maar omdat het kan....

donderdag 21 januari 2010 11:23

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

Met andere woorden hij wil NAT?

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

donderdag 21 januari 2010 12:21

Acties:

GdeKeijzer

Asjemenou?

Topicstarter

DGTL_Magician schreef op donderdag 21 januari 2010 @ 11:23:
Met andere woorden hij wil NAT?

Uhm...

'Binnen' staat een machine met ip xxx.yyy.zzz.www (private). Van buiten is er een WAN-ip die verwijst naar dit IP (poort 8080). Nu wil hij op IP-niveau naar het WAN-ip adres gaat die op zijn beurt weer doorstuurd naar het LAN-ip adres. De Cisco doet dit echter niet op IP-niveau. Wel op DNS niveau (dns-doctoring).

Niet omdat het moet, maar omdat het kan....

donderdag 21 januari 2010 14:49

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Je wilt gewoon NATten dus.

static (outside,inside) <intern ip> <extern ip> netmask 255.255.255.255

Daarna nog een access-list maken om aan te geven welke poorten je wilt toestaan, en klaar.

Vicariously I live while the whole world dies

donderdag 21 januari 2010 14:58

Acties:

AjDuLion

access-list outside_in extended permit tcp any interface outside eq (poortnummer)

static (inside,outside) tcp interface (poortnummer) (ip adress intern) (poortnummer) netmask 255.255.255.255

dat dus

Facebook - Twitter -Twitch.tv - PSN

donderdag 21 januari 2010 15:51

Acties:

bazkar

NAT gaat hier niet echt helpen, omdat de klant dus van binnenuit, op de server aan de binnenkant wil komen door het buiten IP van de server te gebruiken (als ik de OP goed volg).

Waarom je dit zou willen is me een raadsel, en volgens mij is het ook niet mogelijk op een zinvolle manier
(enige mogelijkheid die ik zo zie is dat buitenIP naar een router routeren, die het NAT naar een transfer net tussen die router en de FW en de FW het vervolgens weer terug laten natten naar het private IP van de server.
Erg smerig dus.

Ook voor de DNS doctoring lijkt me een losse interne DNS met het outside domain aangemaakt en verwijzend naar de interne server een veel mooiere oplossing.

[ Voor 13% gewijzigd door bazkar op 21-01-2010 15:52 ]

donderdag 21 januari 2010 16:08

Acties:

GdeKeijzer

Asjemenou?

Topicstarter

bazkar schreef op donderdag 21 januari 2010 @ 15:51:
NAT gaat hier niet echt helpen, omdat de klant dus van binnenuit, op de server aan de binnenkant wil komen door het buiten IP van de server te gebruiken (als ik de OP goed volg).

Waarom je dit zou willen is me een raadsel, en volgens mij is het ook niet mogelijk op een zinvolle manier
(enige mogelijkheid die ik zo zie is dat buitenIP naar een router routeren, die het NAT naar een transfer net tussen die router en de FW en de FW het vervolgens weer terug laten natten naar het private IP van de server.
Erg smerig dus.

Ook voor de DNS doctoring lijkt me een losse interne DNS met het outside domain aangemaakt en verwijzend naar de interne server een veel mooiere oplossing.

Precies wat je schetst wil de klant.

De klant wil dit omdat hij zijn appliance (die alleen naar een ip-adres kan lullen) van binnen het netwerk wil testen (naar het WAN-ip)>

DNS-Doctoring werkt al, maar dat gaat hierbij niet helpen.

Niet omdat het moet, maar omdat het kan....

donderdag 21 januari 2010 16:31

Acties:

CyBeR

💩

Je wilt NAT-loopback, in essentie, maar volgens mij heeft Cisco daar een aversie tegen en vind je 't in geen van hun producten (behalve linksys mischien) terug.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 21 januari 2010 16:38

Acties:

Vicarious

☑Rekt | ☐ Not rekt

CyBeR schreef op donderdag 21 januari 2010 @ 16:31:
Je wilt NAT-loopback, in essentie, maar volgens mij heeft Cisco daar een aversie tegen en vind je 't in geen van hun producten (behalve linksys mischien) terug.

Inderdaad, Cisco doet dit niet. Als ze dit willen testen zullen ze dat buiten hun eigen netwerk om moeten doen.

Vicariously I live while the whole world dies

donderdag 21 januari 2010 17:17

Acties:

GdeKeijzer

Asjemenou?

Topicstarter

Ok. Thanx allemaal.

Dit kan weer in de kast onder 'niet alledaagse vragen met hun antwoorden'.

Niet omdat het moet, maar omdat het kan....

donderdag 21 januari 2010 20:30

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

Nou niet helemaal, want Cisco ondersteund "Hairpinning", een andere term voor NAT-Loopback.

Je enabled dit met: "same-security-traffic permit intra-interface" of met "same-security-traffic permit inter-interface" als het over een ander interface gaat met je zelfde security level.

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

donderdag 21 januari 2010 20:42

Acties:

Kirpeknots

Wazzup!

De NAT loopback werkt wel. DNS doctoring werkt echter niet in combinatie met port address translation. Wat je zou moeten doen is NAT (Het gehele IP) naar die server mikken en met een ACL wat poorten open laten over deze NAT. Dan werkt DNS doctoring wel.

DNS doctoring in combinatie met PAT is een no-go op een pix/asa volgens mij.

donderdag 21 januari 2010 22:35

Acties:

Vicarious

☑Rekt | ☐ Not rekt

DGTL_Magician schreef op donderdag 21 januari 2010 @ 20:30:
Nou niet helemaal, want Cisco ondersteund "Hairpinning", een andere term voor NAT-Loopback.

Je enabled dit met: "same-security-traffic permit intra-interface" of met "same-security-traffic permit inter-interface" als het over een ander interface gaat met je zelfde security level.

Let wel: voor het commando same-security-traffic heb je minimaal PIX versie 7.0 nodig.

Vicariously I live while the whole world dies

vrijdag 22 januari 2010 09:54

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

Vicarious schreef op donderdag 21 januari 2010 @ 22:35:
[...]

Let wel: voor het commando same-security-traffic heb je minimaal PIX versie 7.0 nodig.

Wat geen issue is als je een ASA hebt

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

vrijdag 22 januari 2010 10:22

Acties:

Vicarious

☑Rekt | ☐ Not rekt

DGTL_Magician schreef op vrijdag 22 januari 2010 @ 09:54:
[...]

Wat geen issue is als je een ASA hebt

Dat vind ik nergens terug

Vicariously I live while the whole world dies

vrijdag 22 januari 2010 10:36

Acties:

alt-92

ye olde farte

Titel?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 22 januari 2010 11:11

Acties:

Vicarious

☑Rekt | ☐ Not rekt

alt-92 schreef op vrijdag 22 januari 2010 @ 10:36:
Titel?

Vicariously I live while the whole world dies

zondag 24 januari 2010 14:33

Acties:

GdeKeijzer

Asjemenou?

Topicstarter

Kirpeknots schreef op donderdag 21 januari 2010 @ 20:42:
De NAT loopback werkt wel. DNS doctoring werkt echter niet in combinatie met port address translation. Wat je zou moeten doen is NAT (Het gehele IP) naar die server mikken en met een ACL wat poorten open laten over deze NAT. Dan werkt DNS doctoring wel.

DNS doctoring in combinatie met PAT is een no-go op een pix/asa volgens mij.

DNS Doctoring werkt ook al. Dat doet het idd niet met PAT. Vandaar.

Ik ga de andere oplossing eens testen.

Niet omdat het moet, maar omdat het kan....