Afgescheiden netwerk

Hallo,

Van het werk heb ik 2 servers en een Cisco ASA gekregen. Nu wil ik vanalles uit gaan proberen op de servers (VDI, Xenapp 7 etc). Ik wil de ASA gebruiken om het testnetwerk af te scheiden van het thuisnetwerk, ook omdat ik hier weer van kan leren. Ik wil één server dmv RDP kunnen benaderen.

Maar nu lukt het internetten niet vanuit het testnetwerk. Om het eea te verduidelijken heb ik een visio tekening gemaakt van hoe ik het wil.



inside interface asa: 172.16.1.254 (security level 100)
outside interface asa: 192.168.2.251 (security level 0)
Thuisnetwerk: 192.168.2.0/24
Testnetwerk: 172.16.1.0/24

Ik heb een default route op de asa ingesteld (ip route 0.0.0.0 192.168.2.251 0.0.0.0). Verder moet ik NAT nog instellen volgens mij, en hier heb ik nog geen ervaring mee. Weten jullie hoe ik dat kan configureren? Ik bedien de ASA dmv de ASDM.

Bedankt,

Het zijn inderdaad de laatste IOS versies (9.1). Het Cisco document heb ik nog niet helemaal doorgelezen. Maar mijn ervaring is dat die onnodig complex zijn.

Ik ga nog even aan de slag als ik de tijd ervoor heb. als ik meer specifieke vragen heb meld ik dat. Als iemand ondertussen nog tips heeft hoor ik dat graag!

TrailBlazer schreef op maandag 29 juli 2013 @ 08:17:
[...]

met die instelling wordt het nooit wat als je een handleiding als onnodig complex beschouwt.
Een cookbook volgens kan iedereen maar of je daar dan wat van leert is maar zeer de vraag.

Oke ik maak me het er iets te gemakkelijk vanaf

Maar mijn ervaring is met veel Cisco theorie is dat ze het lastiger uitleggen dan het is. Ik zie dat je CCIE bent, heb je ook subnetten via de Cisco boeken geleerd? Ik heb het geprobeerd iig, en ik heb gefaald. De nuggets werken dan verhelderend

Van Plizz kreeg ik het volgende bericht:

"
Stap voor stap in ASDM.
1.) Klik op knop configuration onder de menu balk
2.) klik op Routing en daarna Static routes
3.) Klik op Add button om een static route toe te voegen
4.) Kies de interface: "Outside", Network: "any4", Gateway: "192.168.1.254" en daarna op OK
5.) Klik op firewall, linkonders het scherm.
6.) Klik op Objects en daarna op Network Objects/Group
7.) Klik op Add button en kies Network Object...
! Bij stap 8 wordt een objecten gemaakt voor je 192.168.1.0 en 172.16.1.0 netwerk voor NAT translation. !
8.) Vul of kies de gegevens in van het object. Wanneer alles is ingvuld of gekozen, kies op OK.
Voorbeeld: Name: EXSI_Network
Type: Network
Ip Address: 172.16.1.0
Netmask: 255.255.255.0
9.) Herhaal stap 8 nogmaals voor thuis netwerk
10). Klik daarna op NAT Rules
11.) Kies Add NAT Rules Before "Network Object" NAT Rules...
12.) Kies hier de interfaces en de objecten namen. Laat andere instellingen zoals het is.
Vink "Disable Proxy ARP on egress interface" aan. kies daarna op OK
Voorbeeld:
Source Interface: Inside Destination Interface: Outside
Source Address: EXSI_Network Destination Address: Home_Network

Als het klopt werkt alles. MAAR je moet je firewall rules nog naar je smaak aanpassen. Die moet je zelf doen, anders leer je niks. Zo moeilijk is het niet.
De firewall rules is net als een Cisco access-list. Als je het concept begrijpt, is het een eitje. Om alles te testen of je internet hebt op het network 172.16.1.0. Kan je beter permit ip any any op je inside en outside interface zetten. Zo laat de firewall alles door.
"

Hopelijk hebben andere hier ook wat aan. Bedankt hiervoor!

Het is allemaal gelukt! Het is me nu stukken duidelijker hoe het werkt met NAT en dergelijke.

Ik ga de ASA verkopen, in plaats daarvan heb ik een server gebruikt waarop ik pfSense heb geïnstalleerd. De server fungeert nu als routeplatform.