Jak mogę uzyskać dostęp do mojego wewnętrznego serwera na zewnętrznym adresie IP?

Próbujemy skonfigurować Cisco 5505 i zostało to wykonane za pośrednictwem ASDM.

Jest jeden duży problem, którego nie jesteśmy w stanie rozwiązać, i wtedy przechodzisz od środka na zewnątrz i wracasz.

Przykład: mamy serwer „wewnątrz” i chcemy mieć dostęp do tego serwera z tym samym adresem, jeśli jesteśmy w środku lub jeśli jesteśmy na zewnątrz.

Problem polega na dodaniu reguły, która zezwoli na ruch z wewnątrz na zewnątrz, a następnie z powrotem.

Zapora ASA nie może kierować ruchu. Musisz zamaskować adres wewnętrzny z adresem zewnętrznym.

Rozwiązanie 1: Sprawdzanie DNS ze statycznym NAT

Załóżmy, że Twój adres IP zewnętrznej witryny to 1.2.3.4, który następnie jest przekierowywany do portu (lub bezpośrednio NAT'owany) na wewnętrzny adres IP 192.168.0.10. W przypadku dokowania DNS będą miały miejsce następujące zdarzenia:

1. Klient wewnątrz żąda http://www.companyweb.com , co pierwotnie przekłada się na 1.2.3.4
2. ASA przechwytuje pakiet odpowiedzi DNS i zastępuje rekord A 192.168.0.10
3. Klient bardzo się cieszy, ponieważ może teraz otworzyć stronę internetową firmy :-)

Aby uzyskać bardziej szczegółowe informacje o tym, jak to włączyć: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Rozwiązanie 2: Wewnętrzny serwer DNS

Ten jest przydatny, jeśli masz tylko jeden zewnętrzny adres IP i przekierujesz ten adres IP do wielu usług wewnętrznych na różnych serwerach (powiedzmy, że port 80 i 443 ma adres 192.168.0.10, port 25 to 192.168.0.11 itd.).

Nie wymaga zmiany konfiguracji ASA, ale będzie wymagać zduplikowania domeny zewnętrznej na wewnętrznym serwerze DNS (usługa Active Directory ma to wbudowane). Po prostu tworzysz dokładnie te same rekordy, co teraz, tylko z wewnętrznymi adresami IP w usługach, które masz wewnętrznie.

„Rozwiązanie” 3: Interfejs DMZ z publicznymi adresami IP

Nie zamierzam wdawać się w wiele szczegółów na ten temat, ponieważ wymaga to podsieci adresów IP od usługodawcy internetowego kierowanej do ASA. W dzisiejszych czasach z głodem IPv4 jest bardzo ciężko.

Ponieważ inne podobne pytania są oznaczone jako duplikaty z odniesieniem do tutaj, chciałbym uzupełnić doskonałą odpowiedź @pauska o 4. opcję.

Rozwiązanie 4: Kierowanie ruchem przez NAT Hairpinning

Zezwolenie na ruch z powrotem przez interfejs urządzenia Cisco PIX / ASA, na przykład gdy klient nat: ed uzyskuje dostęp do serwera nat: ed za pośrednictwem swojego publicznego adresu IP, nazywa się Cisco NAT Hairpinning.

Używa zasadniczo takich samych parametrów konfiguracyjnych jak zwykle dla nat i przekierowania portów, ale z dodatkiem tego polecenia:

same-security-traffic permit intra-interface

oraz drugie mapowanie statyczne dla ruchu wewnątrz-do-serwera:

static(inside,inside) i.i.i.i x.x.x.x

Jest to szczegółowo opisane wraz z przykładem konfiguracji tutaj dla projektu z dwoma interfejsami: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

I tutaj jest docelowa alternatywa NAT dla projektu z trzema interfejsami: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

Nie możesz uzyskać dostępu do zewnętrznego interfejsu Pix / ASA od wewnątrz. Należy przekierować żądania DNS dotyczące zewnętrznego adresu serwera na adres wewnętrzny.