2
Cisco ASA hinter Router mit NAT
Hallo,
ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, von dort habe ich eine Route auf das interne Netz der ASA (192.168.2.0) gesetzt.
Es ist leider nicht möglich den Cisco/das Modem als Bridge fungieren zu lassen, da das aus einigen Gründen nicht funktioniert (PPPoA, etc)
Die Topologie sieht folgendermaßen aus:
---DSL--->[Router]--->[ASA]--->Client
Der Router hat das Netz 192.168.1.0/24
Die ASA am Outside Interface 192.168.1.253
Die ASA am Inside Interface 192.168.2.0/24
Der Cisco übernimmt das NAT overload für beide Netze 192.168.2.0 und zurzeit noch 192.168.1.0 (Da die Clients momentan direkt hinter dem Router hängen)
Am Outside Interface kann ich bereits nach außen pingen, von Inside Interface noch nicht.
Auf der ASA habe ich eine NAT0-Regel erstellt und eine Route nach außen.
0.0.0.0 0.0.0.0 192.168.1.254
nat (inside) 0 access-list NO-NAT
access-list NO-NAT extended permit ip object-group LAN-192.168.2.0 any
Jedoch funktioniert es noch nicht, was übersehe ich?
Mit doppelten NAT funktioniert es auch, will dies aber vermeiden.
Danke für die Antworten.
ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, von dort habe ich eine Route auf das interne Netz der ASA (192.168.2.0) gesetzt.
Es ist leider nicht möglich den Cisco/das Modem als Bridge fungieren zu lassen, da das aus einigen Gründen nicht funktioniert (PPPoA, etc)
Die Topologie sieht folgendermaßen aus:
---DSL--->[Router]--->[ASA]--->Client
Der Router hat das Netz 192.168.1.0/24
Die ASA am Outside Interface 192.168.1.253
Die ASA am Inside Interface 192.168.2.0/24
Der Cisco übernimmt das NAT overload für beide Netze 192.168.2.0 und zurzeit noch 192.168.1.0 (Da die Clients momentan direkt hinter dem Router hängen)
Am Outside Interface kann ich bereits nach außen pingen, von Inside Interface noch nicht.
Auf der ASA habe ich eine NAT0-Regel erstellt und eine Route nach außen.
0.0.0.0 0.0.0.0 192.168.1.254
nat (inside) 0 access-list NO-NAT
access-list NO-NAT extended permit ip object-group LAN-192.168.2.0 any
Jedoch funktioniert es noch nicht, was übersehe ich?
Mit doppelten NAT funktioniert es auch, will dies aber vermeiden.
Danke für die Antworten.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307643
Url: https://administrator.de/contentid/307643
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
Fehler gefunden, es funktionierte alles, jedoch kann man vom Inside Interface anscheinend nicht nach außen pingen.
Fehler gefunden, es funktionierte alles, jedoch kann man vom Inside Interface anscheinend nicht nach außen pingen.
Das ist normal wenn du ICMP (Ping) nicht freigegeben hast mit einer .2.0er Absender IP !
Ansonsten extended Ping benutzen, da kannst du die Absender IP selber definieren.
Ansonsten extended Ping benutzen, da kannst du die Absender IP selber definieren.
