[ASA5505] Nat rule problemen intern verkeer - Netwerken

donderdag 18 juli 2013 00:02

Acties:

Shake and Bake!

Topicstarter

Hallo allemaal,

Normaal is dit niet zo mijn ding maar ik ga het toch proberen.

Mijn werkgever heeft een ASA5505 en ik probeer een eenvoudige NAT rule te maken.

Dit lukt bijna. Het verkeer wordt netjes van buitenaf naar de interne IP's geport. So far so good.. helaas zijn een aantal IP adressen onbereikbaar vanaf het moment dat de Nat regel actief is.

code:

Script NAT : 

static (inside,outside) 79.x.x.x 192.168.50.70 netmask 255.255.255.255 

Acces list:

access-list outside_access_in remark Verkeer naar ASP server
access-list outside_access_in extended permit tcp any host 192.168.50.70 eq https

Dit werkt dus gewoon. Ik kan vanaf het 79x domein netjes op poort 443 de webserver benaderen.

Helaas kan ik vanaf dat moment diverse externe domeinen niet meer bereiken. Daarnaast heb ik hetzelfde probleem intern. Een aantal externe Ip's is onbereikbaar.

Als ik de NAT rule uitzet werkt alles weer prima. Wat ik niet begrijp is dat een static rule sommige IP's wel blokkeerd en andere niet?!

Uiteraard heb ik google gevonden. Zaken als te veel hosts (50 stuks) is niet het probleem. Ook volg ik diverse youtube filmpjes exact maar helaas met hetzelfde resultaat. Iemand een idee?

donderdag 18 juli 2013 08:41

Acties:

WhizzCat

www.lichtsignaal.nl

Je geeft wel wat weinig informatie. Hoe gaat het bijvoorbeeld met je DMZ en externe verbindingen? Gebruiken jullie meerdere IP adressen, zitten er nog meer firewalls/routers tussen?

Doe je wel een overload op je externe interface?
aka:

code:

1 2	ip nat inside source list 100 interface FastEthernet0 overload ip nat inside source static tcp 10.0.0.20 533 interface FastEthernet0 533

Waarbij Fe0 External is. Anders werkt je NAT naar buiten niet. Post dus, als het mogelijk is, zoveel mogelijk van je configuratie, ook al denk je zelf dat het niet relevant is. Bij voorkeur dus alles, minus je wachtwoorden/hashes

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

donderdag 18 juli 2013 09:14

Acties:

plizz

Welke versie ASA IOS zit op die ASA?
Post de rest van de config, omdat het nu lijkt of de ACL alles blokkeert behalve host 192.168.50.70.

@WhizzCat
Jouw gegeven commando's werken alleen op Cisco routers. Cisco ASA is totaal andere koek.

vrijdag 19 juli 2013 09:10

Acties:

Verwijderd

Probeer dit eens:

static (inside,outside) tcp 79.x.x.x 443 192.168.50.70 443 netmask 255.255.255.255

access-list 100 extended permit tcp any host 79.x.x.x eq https

vrijdag 19 juli 2013 11:25

Acties:

WhizzCat

www.lichtsignaal.nl

Lol, daar was ik al bang voor. Ik heb eigenlijk weinig verstand van de asa, maar ik gokte op gelijkwaardige syntax, niet dus

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

maandag 22 juli 2013 13:44

Acties:

mbaltus

Volgens mij is het probleem inderdaad doordat je geen protocol/poort in je NAT opgeeft dat je een 1-op-1 NAT maakt. Daarna is NATting van de rest van je netwerk een probleem geworden. Zoals Ben! zegt kun je dus protocol (tcp) en poort (443) erbij opgeven en zou het moeten werken.

De opbouw van je ACL is vervolgens afhankelijk van de softwareversie van de ASA. Alles tot en met 8.2 maakt namelijk gebruik van een ACL op het outside IP adres en vanaf 8.3 moet je de ACL op het interne IP adres zetten.

The trouble with doing something right the first time is that nobody appreciates how difficult it is

donderdag 25 juli 2013 11:13

Acties:

Wimo.

Shake and Bake!

Topicstarter

Goed, excuses voor de late reactie maar de hele migratie zorgt er voor dat ik 90 uur + per week werk.

Het probleem zat uiteindelijk in de routering van de provider. Netwerken als UPC en BT konden onze servers niuet bereiken, ON weer wel. Dat verklaarde ook meteen de mailproblemen ... achteraf stom dat ik dat niet eerder heb gechecked