8
Asa 5505 nat probleme
port-based nat geht nicht
irgendwie versteh ich das ding nicht
wieso funktioniert
access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq www
object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www www
aber folgendes funktioniert nicht ;(
access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq 50124
object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www 50124
wieso funktioniert
access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq www
object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www www
aber folgendes funktioniert nicht ;(
access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq 50124
object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www 50124
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171386
Url: https://administrator.de/contentid/171386
Printed on: April 18, 2024 at 01:04 o'clock
8 Comments
Latest comment
Anders rum gefragt: Was willst du denn erreichen ?? Das HTTP Pakete mit dem Port TCP 50124 arbeiten ist ja höchst ungewöhnlich ?!
Wenn du auf der ASA den NAT Prozess mal debuggen würdest debug ip nat... dann siehst du außerdem sofort warum es kneift !
(P.S.: Deine Shift Taste ist defekt !)
Wenn du auf der ASA den NAT Prozess mal debuggen würdest debug ip nat... dann siehst du außerdem sofort warum es kneift !
(P.S.: Deine Shift Taste ist defekt !)
PS: nu is sie heil ;)
Was ich erreichen will ... z.b das hier
> Externe-IP port 50123 ---------------> 192.168.1.123 port 80
Internet -------> Externe-IP port 50124 --- ASA -----> 192.168.1.124 port 80
> Externe-IP port 50125 ---------------> 192.168.1.125 port 80
Auf einer 5520 reicht dafür eine access-list und ein static... und gut is, aber ich hab das Zeug schon
lange nicht mehr in der Hand gehabt und mit v8.2(1), was auf der 5505 drauf ist, ist irgendwie alles anders.
Das Teilchen faselt nur was von:
Inbound TCP connection denied from XXX.XXX.XXX.XXX/53282 to Externe-IP/50124 flags SYN on interface outside
Was ich erreichen will ... z.b das hier
> Externe-IP port 50123 ---------------> 192.168.1.123 port 80
Internet -------> Externe-IP port 50124 --- ASA -----> 192.168.1.124 port 80
> Externe-IP port 50125 ---------------> 192.168.1.125 port 80
Auf einer 5520 reicht dafür eine access-list und ein static... und gut is, aber ich hab das Zeug schon
lange nicht mehr in der Hand gehabt und mit v8.2(1), was auf der 5505 drauf ist, ist irgendwie alles anders.
Das Teilchen faselt nur was von:
Inbound TCP connection denied from XXX.XXX.XXX.XXX/53282 to Externe-IP/50124 flags SYN on interface outside
Mmmhhh, sieht man sich die Command Syntax an:
nat [(real_ifc,mapped_ifc)] static {mapped_inline_ip | mapped_obj | interface} [dns | service {tcp | udp} real_port mapped_port] [no-proxy-arp]
willst du ja eine outside IP auf eine inside IP mappen. Laut vorgeschriebener Syntax müsste das Command Statement dann genau anderesrum lauten was Interfaces und Ports anbetrifft. Das erklärt ggf. auch den SYN Fehler.
nat [(real_ifc,mapped_ifc)] static {mapped_inline_ip | mapped_obj | interface} [dns | service {tcp | udp} real_port mapped_port] [no-proxy-arp]
willst du ja eine outside IP auf eine inside IP mappen. Laut vorgeschriebener Syntax müsste das Command Statement dann genau anderesrum lauten was Interfaces und Ports anbetrifft. Das erklärt ggf. auch den SYN Fehler.
Das versteh ich nicht, weil mit 80/80 Mapping geht es, nur mit 80/50124 nicht.
Bei meiner großen ASA mit 7er Firmware schreibe ich einfach
static (management-net,outside) tcp Externe-IP 50124 Intern-IP www netmask 255.255.255.255
nur das geht bei der 5505 nicht mehr ;(
Ich glaube ich sollte den Kasten einfach wegwerfen und fertig ...
Bei meiner großen ASA mit 7er Firmware schreibe ich einfach
static (management-net,outside) tcp Externe-IP 50124 Intern-IP www netmask 255.255.255.255
nur das geht bei der 5505 nicht mehr ;(
Ich glaube ich sollte den Kasten einfach wegwerfen und fertig ...
Also ich hab jetzt mal die Docu durchgewühlt, danach müsste es so funktionieren,
zu mindest wenn ich die ip vom outside-interface verwenden will und keine andere
object network mm-1
... host INTERNAL-IP
... nat (management-net,outside) static interface service tcp 80 50124
access-list outside_access_in extended permit tcp object-group external-admin-hosts host EXTERNAL-IP eq 50124
access-group outside_access_in in interface outside
tut es aber nicht ...
zu mindest wenn ich die ip vom outside-interface verwenden will und keine andere
object network mm-1
... host INTERNAL-IP
... nat (management-net,outside) static interface service tcp 80 50124
access-list outside_access_in extended permit tcp object-group external-admin-hosts host EXTERNAL-IP eq 50124
access-group outside_access_in in interface outside
tut es aber nicht ...
Der real Port (eingehend) ist bei dir doch aber die 50124 und der mapped Port die 80. Die beiden Portnummern müssten also vertauscht sein ?!
Ich teste das mal ... mal schauen ob das Verdrehen was bringt
In der Docu steht ...
The following example configures static NAT with port translation for 10.1.1.1 at TCP port 21 to the outside interface at port 2121.
hostname(config)# object network my-ftp-server
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static interface service tcp 21 2121
also für mich heist das dann
hostname(config)# object network mm-1
hostname(config-network-object)# host INTERNE-IP
hostname(config-network-object)# nat (management-net,outside) static interface service tcp 80 50124
Oder nicht ???
Ich versteh den ### nicht, kann man nicht v7.4 auf eine 5505 blasen, dann geht einfach static ... und gut ist ...
Ich hab selten so einen Dreck von Router/Firewall gesehen ...
The following example configures static NAT with port translation for 10.1.1.1 at TCP port 21 to the outside interface at port 2121.
hostname(config)# object network my-ftp-server
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static interface service tcp 21 2121
also für mich heist das dann
hostname(config)# object network mm-1
hostname(config-network-object)# host INTERNE-IP
hostname(config-network-object)# nat (management-net,outside) static interface service tcp 80 50124
Oder nicht ???
Ich versteh den ### nicht, kann man nicht v7.4 auf eine 5505 blasen, dann geht einfach static ... und gut ist ...
Ich hab selten so einen Dreck von Router/Firewall gesehen ...
