Hat jemand Erfahrung mit einer Cisco ASA 5505 - Brauche Hilfe bei der Konfiguration
Hallo und Guten Abend!
Ich betreibe einen Root-Server hinter dem eine Cisco ASA 5505 läuft. Nun ist es so, dass ich vom Betreiber drei öffentliche IP-Adressen bekommen habe. Auf dem Server läuft Windows Server 2008 R2 als Hyper-V Host. Bis jetzt musste ich jeder internen IP-Adresse welche ich für meine Server benutze auf der Cisco per NAT-Roule eine öffentliche IP-Adresse zuteilen da sonst kein Zugriff aufs Internet von der jeweiligen virtuellen Maschine möglich war. Das war bis jetzt kein Problem weil ich dachte ich bekomme noch mehr öffentliche IP-Adressen. Nun ist es so, dass ein weiterer virtueller Server hinzugekommen ist. Nun wollte ich eine weitere öffentliche IP bekommen. Diese stellt mir der Provider aber nur kostenpflichtig zur Verfügung. Ich habe nun das Problem das ich von dem neuen Server kein Internetzugriff bekomme obwohl Gateway und DNS-Server richtig eingetragen sind. Aber die Cisco lässt das nicht durch und ich weiß nicht an welcher Stelle ich bei diesem Teil ansetzen muss. Der Support hat was von IP-Sharing gefaselt, wie das funktioniert oder ob ich einfach nur einen Konfigurationsfehler gemacht habe ist mir nicht klar.
Vielleicht hat einer hierzu eine Hilfestellung für mich. Da würde ich mich sehr freuen.
Vielen Dank und viele Grüße
Maik
Ich betreibe einen Root-Server hinter dem eine Cisco ASA 5505 läuft. Nun ist es so, dass ich vom Betreiber drei öffentliche IP-Adressen bekommen habe. Auf dem Server läuft Windows Server 2008 R2 als Hyper-V Host. Bis jetzt musste ich jeder internen IP-Adresse welche ich für meine Server benutze auf der Cisco per NAT-Roule eine öffentliche IP-Adresse zuteilen da sonst kein Zugriff aufs Internet von der jeweiligen virtuellen Maschine möglich war. Das war bis jetzt kein Problem weil ich dachte ich bekomme noch mehr öffentliche IP-Adressen. Nun ist es so, dass ein weiterer virtueller Server hinzugekommen ist. Nun wollte ich eine weitere öffentliche IP bekommen. Diese stellt mir der Provider aber nur kostenpflichtig zur Verfügung. Ich habe nun das Problem das ich von dem neuen Server kein Internetzugriff bekomme obwohl Gateway und DNS-Server richtig eingetragen sind. Aber die Cisco lässt das nicht durch und ich weiß nicht an welcher Stelle ich bei diesem Teil ansetzen muss. Der Support hat was von IP-Sharing gefaselt, wie das funktioniert oder ob ich einfach nur einen Konfigurationsfehler gemacht habe ist mir nicht klar.
Vielleicht hat einer hierzu eine Hilfestellung für mich. Da würde ich mich sehr freuen.
Vielen Dank und viele Grüße
Maik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 229092
Url: https://administrator.de/contentid/229092
Ausgedruckt am: 14.11.2024 um 07:11 Uhr
1 Kommentar
OK, um es nochmal genau zusammenzufassen: Du hast einen VM Host auf dem 3 VMs (oder die Host IP und 2 VMs) werkeln die per 1:1 NAT im Cisco auf die öffentlichen IPs umgesetzt werden.
Nun ist eine weitere VM dazugekommen und du hast logischerweise ein IP Adress Problem weil du die interne RFC 1918 IP der VM nicht mehr auf eine öffentliche umsetzen kannst und diese VM nun quasi hinter der NAT Firewall gefangen ist.
Da dann das Gateway und DNS auf den Cisco zu setzen ist auch wenig hilfreich und kann logischerweis nicht funktionieren weil es keinerlei Zuordnung mehr zu einer öffentlichen IP gibt mit der diese zusätzliche VM dann ins Internet kann. War also zu erwarten das das natürlich nicht klappt....
Generell hast du da keine Chance, denn wie soll das auch gehen ohne weitere IP.
WAS du aber machen kannst ist PAT, also Port Adress Translation (nat overload bei Cisco). Das ist auch genau das was der Provider mit IP Sharing meint. Ist das gleiche Prinzip wie bei einem DSL Router, der alle IPs eines lokalen Netzes auf eine einzige IP umsetzt mit NAT/PAT allerdings mit einigen Nachteilen:
Das Problem ist wie der Name schon sagt das hier nur eine Translation auf Port Adressbasis stattfindet. D.h. ein oder mehrere VMs nutzen eine einzige öffentliche IP um nach draussen ins Internet zu kommen. Anhand der Source und Destination Ports ordnet das NAT dann wieder die lokalen Host IPs zu.
Der Nachteil ist das das kein transparentes NAT ist. Du kannst also nicht von außen (Internet) nach innen (lokales Netz, VMs) ohne eine gültige Session in der NAT Session Tabelle.
Man kann das aber eintragen, das ist das was man unter klassischem Port Forwarding versteht. Also man kann dem Cisco beibringen eingehender Port TCP 80 Traffic für die öffentliche IP x geht lokal auf die hostadresse y mit Port 80.
Damit ist aber dann für Port 80 Schluss, da logischerweise diese statische Port Zuweisung nur ein einziges Mal gemacht werden kann.
Will man weiteren HTTP Traffic auf eine andere VM forwarden muss man zwangsweise einen anderen Port verwenden also z.B. 8080 den man dann auf eine andere lokale IP forwarden kann.
Bedingt dann aber das von außen immer dieser Port angegeben werden muss wenn er nicht der Standardport ist also z.B. http//<ip_oder_name>:8080.
Damit ist ein Sharing einer einzelnen IP problemlos möglich hat aber Einschränkungen was den Zugriff von außen anbetrifft.
Wenn eine oder mehrere deiner VMs keinen Zugriff von außen benötigen sondern selber immer nur Verbindungen irgendwohin aufbauen z.B. bei einem VPN, dann ist PAT die richtige Lösung. Da kannst du dann mit 10 oder mehr VMs eine einzige IP sharen.
Beispielkonfigs dazu für die ASA findet man wie immer hier:
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ...
Nun ist eine weitere VM dazugekommen und du hast logischerweise ein IP Adress Problem weil du die interne RFC 1918 IP der VM nicht mehr auf eine öffentliche umsetzen kannst und diese VM nun quasi hinter der NAT Firewall gefangen ist.
Da dann das Gateway und DNS auf den Cisco zu setzen ist auch wenig hilfreich und kann logischerweis nicht funktionieren weil es keinerlei Zuordnung mehr zu einer öffentlichen IP gibt mit der diese zusätzliche VM dann ins Internet kann. War also zu erwarten das das natürlich nicht klappt....
Generell hast du da keine Chance, denn wie soll das auch gehen ohne weitere IP.
WAS du aber machen kannst ist PAT, also Port Adress Translation (nat overload bei Cisco). Das ist auch genau das was der Provider mit IP Sharing meint. Ist das gleiche Prinzip wie bei einem DSL Router, der alle IPs eines lokalen Netzes auf eine einzige IP umsetzt mit NAT/PAT allerdings mit einigen Nachteilen:
Das Problem ist wie der Name schon sagt das hier nur eine Translation auf Port Adressbasis stattfindet. D.h. ein oder mehrere VMs nutzen eine einzige öffentliche IP um nach draussen ins Internet zu kommen. Anhand der Source und Destination Ports ordnet das NAT dann wieder die lokalen Host IPs zu.
Der Nachteil ist das das kein transparentes NAT ist. Du kannst also nicht von außen (Internet) nach innen (lokales Netz, VMs) ohne eine gültige Session in der NAT Session Tabelle.
Man kann das aber eintragen, das ist das was man unter klassischem Port Forwarding versteht. Also man kann dem Cisco beibringen eingehender Port TCP 80 Traffic für die öffentliche IP x geht lokal auf die hostadresse y mit Port 80.
Damit ist aber dann für Port 80 Schluss, da logischerweise diese statische Port Zuweisung nur ein einziges Mal gemacht werden kann.
Will man weiteren HTTP Traffic auf eine andere VM forwarden muss man zwangsweise einen anderen Port verwenden also z.B. 8080 den man dann auf eine andere lokale IP forwarden kann.
Bedingt dann aber das von außen immer dieser Port angegeben werden muss wenn er nicht der Standardport ist also z.B. http//<ip_oder_name>:8080.
Damit ist ein Sharing einer einzelnen IP problemlos möglich hat aber Einschränkungen was den Zugriff von außen anbetrifft.
Wenn eine oder mehrere deiner VMs keinen Zugriff von außen benötigen sondern selber immer nur Verbindungen irgendwohin aufbauen z.B. bei einem VPN, dann ist PAT die richtige Lösung. Da kannst du dann mit 10 oder mehr VMs eine einzige IP sharen.
Beispielkonfigs dazu für die ASA findet man wie immer hier:
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ...