11
Welche Funktion - PAT bzw. Port Redirection?
Hallo,
ich möchte folgende Infrastruktur abbilden:
5 Webserver sollen über eine externe IP erreichbar sein.
10.120.50.31 :80 -------------------- 193.99.213.98 :9001
10.120.50.32 :80 -------------------- 193.99.213.98 :9002
10.120.50.33 :80 -------------------- 193.99.213.98 :9003
10.120.50.34 :80 -------------------- 193.99.213.98 :9004
10.120.50.35 :80 -------------------- 193.99.213.98 :9005
Hardware wird eine ASA Firewall sein.
Welche Policy oder Konfiguration braucht eine ASA dafür zusätzlich.
Also wie z. B. eine route für beide Richtungen anlegen, NAT Policy etc.
Eine Übersicht würde mir sehr weiterhelfen.
Bsp.:
Mach das, dann das, weil sonst geht es nicht...
ich möchte folgende Infrastruktur abbilden:
5 Webserver sollen über eine externe IP erreichbar sein.
10.120.50.31 :80 -------------------- 193.99.213.98 :9001
10.120.50.32 :80 -------------------- 193.99.213.98 :9002
10.120.50.33 :80 -------------------- 193.99.213.98 :9003
10.120.50.34 :80 -------------------- 193.99.213.98 :9004
10.120.50.35 :80 -------------------- 193.99.213.98 :9005
Hardware wird eine ASA Firewall sein.
Welche Policy oder Konfiguration braucht eine ASA dafür zusätzlich.
Also wie z. B. eine route für beide Richtungen anlegen, NAT Policy etc.
Eine Übersicht würde mir sehr weiterhelfen.
Bsp.:
Mach das, dann das, weil sonst geht es nicht...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 175787
Url: https://administrator.de/contentid/175787
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
11 Kommentare
Neuester Kommentar
Routen sind ja Blödsinn, denn die haben ja nix mit NAT zu tun ! Das ist ein simples NAT was du auf der ASA einrichten musst. Die Cisco Seite hat zig Beispielkonfigs dazu. Das ist ein simpler Einzeiler pro Server in der Konfig !
Ja, aber das ist doch eher PAT bzw. ein Port Redirection !?
NAT !?
Wie am sinnvollsten ein Portscan bzw. Test durchführen ?
NAT !?
Wie am sinnvollsten ein Portscan bzw. Test durchführen ?
Gibt es eine bessere Variante um dies, wie oben aufgeführt, umzusetzen ?
Eventl. mit AnyConnect über den Webbrowser ?
Könnte unter AnyConnect trotzdem eine Zuordung der Webserver erfolgen ?
Ist eine Konfiguration sehr aufwendig ?
Eventl. mit AnyConnect über den Webbrowser ?
Könnte unter AnyConnect trotzdem eine Zuordung der Webserver erfolgen ?
Ist eine Konfiguration sehr aufwendig ?
Ob du es PAT oder NAT nennst ist erstmal kosmetischer Natur. Einen Portscan kannst du mit den üblichen Webseiten bei heise.de usw. von aussen testen.
Wenn du über AnyConnect arbeitest hast du ja eine VPN Verbindung. Das erzwingt dann immer ein starten des VPN Clients vor dem Zugriff.
Dein Thread ist aber so zu verstehen, das die Server im permanten Zugriff da sein sollen, oder ?
Dann ist wieder NAT/PAT dein Freund ! Hier steht wie es geht:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...
Wie gesagt..die Konfig ist eine einzige Zeile in der Cisco Konfig pro Server. Da kannst du dann mal selber beurteilen ob das nun "aufwendig" ist oder nicht !
Wenn du über AnyConnect arbeitest hast du ja eine VPN Verbindung. Das erzwingt dann immer ein starten des VPN Clients vor dem Zugriff.
Dein Thread ist aber so zu verstehen, das die Server im permanten Zugriff da sein sollen, oder ?
Dann ist wieder NAT/PAT dein Freund ! Hier steht wie es geht:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...
Wie gesagt..die Konfig ist eine einzige Zeile in der Cisco Konfig pro Server. Da kannst du dann mal selber beurteilen ob das nun "aufwendig" ist oder nicht !
Ich werde mich gleich mal daran versuchen und mal austesten.
Eine Zeile, wenn es denn nicht viel drum herum ist, dann sollte das recht einfach sein.
Ja, richtig. Die WEB-SRV sollen permanent aktiv sein.
Zumidest kann (wahrscheinlich) nicht jeder den VPN Client nach extern ausführen
oder
gar installieren.
Wie steht es denn mit WEBvpn, also direkt über den Browser ?!
Das wäre dann eine Alternative, oder ?
Eine Zeile, wenn es denn nicht viel drum herum ist, dann sollte das recht einfach sein.
Ja, richtig. Die WEB-SRV sollen permanent aktiv sein.
Zumidest kann (wahrscheinlich) nicht jeder den VPN Client nach extern ausführen
oder
gar installieren.
Wie steht es denn mit WEBvpn, also direkt über den Browser ?!
Das wäre dann eine Alternative, oder ?
In overloading, each computer on the private network is translated to the same IP address (213.18.123.100) but with a different port number assignment:
Das wäre genau richtig. Aber das sind nur Erklärungen - keine Syntax dazu !?
Noch etwas:
10.120.50.31 :80 -------------------- 193.99.213.98 :9001
10.120.50.32 :80 -------------------- 193.99.213.98 :9002
10.120.50.33 :80 -------------------- 193.99.213.98 :9003
10.120.50.34 :80 -------------------- 193.99.213.98 :9004
10.120.50.35 :80 -------------------- 193.99.213.98 :9005
Kann ich die "externen Ports" auch statisch festlegen ?
Die einzelnen :80 Dienste sollen stets gezielt von extern aufgerufen werden.
Wenn einfach der nächste freie Port genutzt wird, dann weiß ich doch nie welchen Webserver ich nun habe, oder ?
Das was ich an Dokus finde verwirrt mich ein wenig.
Es wird davon ausgegangen, das die lokalen Clients eine gloablen öffentlichen Server aufrufen.
Bei mir wäre es aber umgekehrt.
Also:
Inside-Local --------- Outside-Global
10.120.50.31 -------- 193.99.213.98 :9001 (muss :9001)
dst= -------------------- src=
Irgendwo habe ich da ein Denkfehler...
Ps.: Es gibt "Add public Server" - Ist das so eine Art fertige DMZ ?
Das wäre genau richtig. Aber das sind nur Erklärungen - keine Syntax dazu !?
Noch etwas:
10.120.50.31 :80 -------------------- 193.99.213.98 :9001
10.120.50.32 :80 -------------------- 193.99.213.98 :9002
10.120.50.33 :80 -------------------- 193.99.213.98 :9003
10.120.50.34 :80 -------------------- 193.99.213.98 :9004
10.120.50.35 :80 -------------------- 193.99.213.98 :9005
Kann ich die "externen Ports" auch statisch festlegen ?
Die einzelnen :80 Dienste sollen stets gezielt von extern aufgerufen werden.
Wenn einfach der nächste freie Port genutzt wird, dann weiß ich doch nie welchen Webserver ich nun habe, oder ?
Das was ich an Dokus finde verwirrt mich ein wenig.
Es wird davon ausgegangen, das die lokalen Clients eine gloablen öffentlichen Server aufrufen.
Bei mir wäre es aber umgekehrt.
Also:
Inside-Local --------- Outside-Global
10.120.50.31 -------- 193.99.213.98 :9001 (muss :9001)
dst= -------------------- src=
Irgendwo habe ich da ein Denkfehler...
Ps.: Es gibt "Add public Server" - Ist das so eine Art fertige DMZ ?
Die Cisco Webseite hat ein paar fertige Fokus und Konfigs für so ein Szenario:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
oder allgemein hier:
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ...
unter der Rubrik NAT...
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
oder allgemein hier:
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ...
unter der Rubrik NAT...
Die Syntax hat sich beim NAT geändert. oh nein...
Warum hat hier
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
der Router B eine df route zum Router A, anstatt auch über die ASA zu gehen ?
Welchen Grund hat dies ?
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
der Router B eine df route zum Router A, anstatt auch über die ASA zu gehen ?
Welchen Grund hat dies ?
Wichtige Frage:
Muss ich denn beim NAT overloading (PAT) eine statische route haben ?
Oder genügt ein NAT statement ?!
Muss ich denn beim NAT overloading (PAT) eine statische route haben ?
Oder genügt ein NAT statement ?!
Nein, musst du nicht, weil die Outgoing Pakete ja die IP des Outgoing Netzes benutzen und nicht die interne IP. Geht ja auch nicht, weil du dort RFC 1918 IPs benutzt die es im Internet nicht gibt !
Da du eh eine default Route zum Provider hast entfällt also jegliches Routing Gefummel !
Da du eh eine default Route zum Provider hast entfällt also jegliches Routing Gefummel !
