Cisco ASA Natting issue.

dinsdag 8 januari 2013 12:48

Acties:

0 Henk 'm!

Topicstarter

Beste,

We hebben een issue met een cisco asa met de nieuwe natting fucntie sinds asa 8.5
Wanneer wij bijvoorbeeld SMTP willen natten naar een ip adres uit het subnet van onze isp dan gaat dit niet, geen logging komt voorbij, packet tracer zegt 100% geslaagd. Wanneer we de interface gebruiken gaat dit wel goed.

Niet goed.

object network mailserver
nat (inside,outside) static outside-ip-134 service tcp smtp smtp

Wel goed.

object network mailserver
nat (inside,outside) static interface service tcp smtp smtp

Wat meer config.

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

object network outside-ip-134
host 123.123.123.134
object network mailserver
host 192.168.254.20
nat (any,outside) after-auto source dynamic any interface (tbv internetbrowsen)

route outside 0.0.0.0 0.0.0.0 123.123.123.129 1

Ik ben het spoor bijster. Heb tal van deze vorm van natting gedaan met oude asa versies <8.4, maar met de 8.5> lukt het ineens niet meer.

[ Voor 3% gewijzigd door wuwa op 08-01-2013 12:49 ]

Wuwa

dinsdag 8 januari 2013 20:39

Acties:

0 Henk 'm!

Bl@ckbird

Cisco

Cisco heeft de manier van NATten aangepast:

NAT Simplification

The NAT configuration was completely redesigned to allow greater flexibility and ease of use. You can now configure NAT using auto NAT, where you configure NAT as part of the attributes of a network object, and manual NAT, where you can configure more advanced NAT options.

The following commands were introduced or modified: nat (in global and object network configuration mode), show nat, show nat pool, show xlate, show running-config nat.

The following commands were removed: global, static, nat-control, alias.

The following screens were modified or introduced:

Configuration > Firewall > Objects > Network Objects/Group
Configuration > Firewall > NAT Rules

Zie ook:
http://www.cisco.com/en/U...irewall/nat_overview.html

Kloppen de versie nummers die je gebruikt voor de ASA?
ASA versie 8.5 draait namelijk allleen op de ASA-SM Service Modules van een CAT6500.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

woensdag 9 januari 2013 16:01

Acties:

0 Henk 'm!

Vicarious

☑Rekt | ☐ Not rekt

Ik denk dat hij 8.3.5 bedoelt. En de manier van NAT'ten is inderdaad recentelijk gewijzigd. Verder zie ik in je static commando neit waar je het NAARTOE nat. Je hebt alleen de source ip (outside-134) in je statement staan, daarna ga je al gelijk naar de service die je wilt natten.

Vicariously I live while the whole world dies

woensdag 9 januari 2013 17:49

Acties:

0 Henk 'm!

Anoniem: 273065

@Vicarious Sinds ASA 8.3 zit de nat configuratie anders in elkaar. Zoals je hier ziet valt het nat statement onder het object mailserver. TS heeft nu het ip address er niet bij gepaste maar normaal is het nu zoiets:
object network mailserver
host x.x.x.x
nat (inside,outside) static outside-ip-134 service tcp smtp smtp
!
Je doet hier dus eigenlijk een static PAT van x.x.x.x tcp/25 naar outside-ip-134 tcp/25

@TS lijkt me dat je proxy-arp hebt uitstaan op de 'outside' interface. Je kan dit nakijken met:
sh run all | i sysopt.*.proxyarp
Om het aan te zetten: no sysopt noproxyarp outside (logica

)
maar lees best eerst eens door de config guide.

[ Voor 66% gewijzigd door Anoniem: 273065 op 09-01-2013 18:19 ]

donderdag 10 januari 2013 11:45

Acties:

0 Henk 'm!

wuwa

Topicstarter

ik zat nog twijfelen om deze topic te starten in 'netwerken' of 'professionele networking' was een goede keus.

no sysopt noproxyarp outside (stond uit)

toen de nat rules gewiped en opnieuw toegevoegd, was de oplossing. waarom ik dit laatste moest doen is voor mij een raadsel maar het werkt.

mijn complimenten.

Wuwa

Onderwerpen