Asa 5505 nat probleme
port-based nat geht nicht
irgendwie versteh ich das ding nicht
wieso funktioniert
access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq www
object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www www
aber folgendes funktioniert nicht ;(
access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq 50124
object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www 50124
wieso funktioniert
access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq www
object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www www
aber folgendes funktioniert nicht ;(
access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq 50124
object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www 50124
8 Antworten
- LÖSUNG aqui schreibt am 12.08.2011 um 13:20:38 Uhr
- LÖSUNG FooBar12345 schreibt am 12.08.2011 um 14:49:12 Uhr
- LÖSUNG aqui schreibt am 12.08.2011 um 18:23:34 Uhr
- LÖSUNG FooBar12345 schreibt am 12.08.2011 um 22:54:00 Uhr
- LÖSUNG FooBar12345 schreibt am 13.08.2011 um 10:26:04 Uhr
- LÖSUNG aqui schreibt am 13.08.2011 um 10:50:54 Uhr
- LÖSUNG FooBar12345 schreibt am 13.08.2011 um 11:18:18 Uhr
- LÖSUNG FooBar12345 schreibt am 13.08.2011 um 11:22:50 Uhr
- LÖSUNG aqui schreibt am 13.08.2011 um 10:50:54 Uhr
- LÖSUNG aqui schreibt am 12.08.2011 um 18:23:34 Uhr
- LÖSUNG FooBar12345 schreibt am 12.08.2011 um 14:49:12 Uhr
LÖSUNG 12.08.2011 um 13:20 Uhr
LÖSUNG 12.08.2011 um 14:49 Uhr
PS: nu is sie heil ;)
Was ich erreichen will ... z.b das hier
-----------------> Externe-IP port 50123 ---------------> 192.168.1.123 port 80
Internet -------> Externe-IP port 50124 --- ASA -----> 192.168.1.124 port 80
-----------------> Externe-IP port 50125 ---------------> 192.168.1.125 port 80
Auf einer 5520 reicht dafür eine access-list und ein static... und gut is, aber ich hab das Zeug schon
lange nicht mehr in der Hand gehabt und mit v8.2(1), was auf der 5505 drauf ist, ist irgendwie alles anders.
Das Teilchen faselt nur was von:
Inbound TCP connection denied from XXX.XXX.XXX.XXX/53282 to Externe-IP/50124 flags SYN on interface outside
Was ich erreichen will ... z.b das hier
-----------------> Externe-IP port 50123 ---------------> 192.168.1.123 port 80
Internet -------> Externe-IP port 50124 --- ASA -----> 192.168.1.124 port 80
-----------------> Externe-IP port 50125 ---------------> 192.168.1.125 port 80
Auf einer 5520 reicht dafür eine access-list und ein static... und gut is, aber ich hab das Zeug schon
lange nicht mehr in der Hand gehabt und mit v8.2(1), was auf der 5505 drauf ist, ist irgendwie alles anders.
Das Teilchen faselt nur was von:
Inbound TCP connection denied from XXX.XXX.XXX.XXX/53282 to Externe-IP/50124 flags SYN on interface outside
LÖSUNG 12.08.2011 um 18:23 Uhr
Mmmhhh, sieht man sich die Command Syntax an:
nat [(real_ifc,mapped_ifc)] static {mapped_inline_ip | mapped_obj | interface} [dns | service {tcp | udp} real_port mapped_port] [no-proxy-arp]
willst du ja eine outside IP auf eine inside IP mappen. Laut vorgeschriebener Syntax müsste das Command Statement dann genau anderesrum lauten was Interfaces und Ports anbetrifft. Das erklärt ggf. auch den SYN Fehler.
nat [(real_ifc,mapped_ifc)] static {mapped_inline_ip | mapped_obj | interface} [dns | service {tcp | udp} real_port mapped_port] [no-proxy-arp]
willst du ja eine outside IP auf eine inside IP mappen. Laut vorgeschriebener Syntax müsste das Command Statement dann genau anderesrum lauten was Interfaces und Ports anbetrifft. Das erklärt ggf. auch den SYN Fehler.
LÖSUNG 12.08.2011 um 22:54 Uhr
Das versteh ich nicht, weil mit 80/80 Mapping geht es, nur mit 80/50124 nicht.
Bei meiner großen ASA mit 7er Firmware schreibe ich einfach
static (management-net,outside) tcp Externe-IP 50124 Intern-IP www netmask 255.255.255.255
nur das geht bei der 5505 nicht mehr ;(
Ich glaube ich sollte den Kasten einfach wegwerfen und fertig ...
Bei meiner großen ASA mit 7er Firmware schreibe ich einfach
static (management-net,outside) tcp Externe-IP 50124 Intern-IP www netmask 255.255.255.255
nur das geht bei der 5505 nicht mehr ;(
Ich glaube ich sollte den Kasten einfach wegwerfen und fertig ...
LÖSUNG 13.08.2011 um 10:26 Uhr
Also ich hab jetzt mal die Docu durchgewühlt, danach müsste es so funktionieren,
zu mindest wenn ich die ip vom outside-interface verwenden will und keine andere
object network mm-1
... host INTERNAL-IP
... nat (management-net,outside) static interface service tcp 80 50124
access-list outside_access_in extended permit tcp object-group external-admin-hosts host EXTERNAL-IP eq 50124
access-group outside_access_in in interface outside
tut es aber nicht ...
zu mindest wenn ich die ip vom outside-interface verwenden will und keine andere
object network mm-1
... host INTERNAL-IP
... nat (management-net,outside) static interface service tcp 80 50124
access-list outside_access_in extended permit tcp object-group external-admin-hosts host EXTERNAL-IP eq 50124
access-group outside_access_in in interface outside
tut es aber nicht ...
LÖSUNG 13.08.2011 um 10:50 Uhr
LÖSUNG 13.08.2011 um 11:22 Uhr
In der Docu steht ...
The following example configures static NAT with port translation for 10.1.1.1 at TCP port 21 to the outside interface at port 2121.
hostname(config)# object network my-ftp-server
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static interface service tcp 21 2121
also für mich heist das dann
hostname(config)# object network mm-1
hostname(config-network-object)# host INTERNE-IP
hostname(config-network-object)# nat (management-net,outside) static interface service tcp 80 50124
Oder nicht ???
Ich versteh den Scheiß nicht, kann man nicht v7.4 auf eine 5505 blasen, dann geht einfach static ... und gut ist ...
Ich hab selten so einen Dreck von Router/Firewall gesehen ...
The following example configures static NAT with port translation for 10.1.1.1 at TCP port 21 to the outside interface at port 2121.
hostname(config)# object network my-ftp-server
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static interface service tcp 21 2121
also für mich heist das dann
hostname(config)# object network mm-1
hostname(config-network-object)# host INTERNE-IP
hostname(config-network-object)# nat (management-net,outside) static interface service tcp 80 50124
Oder nicht ???
Ich versteh den Scheiß nicht, kann man nicht v7.4 auf eine 5505 blasen, dann geht einfach static ... und gut ist ...
Ich hab selten so einen Dreck von Router/Firewall gesehen ...