У нас есть ASA 5510 с четырьмя сетями: внутри, снаружи, dmz, WLAN. Все адреса внутри имеют нат на внешний, dmz и WLAN. Для нашего imap-сервера существует одна статическая политика изнутри наружу.
Этот сервер доступен извне. ХОРОШО. Из WLAN мы не можем подключиться к этому серверу. От дмз тоже нет. Это наша проблема.
Я попытался решить эту проблему, установив вторую статическую политику изнутри для WLAN, это работает, но есть проблема с DNS. У этого должно быть другое имя, потому что IP-адрес отличается от внешнего внешнего. И я не хочу использовать расщепленный горизонт или другие техники.
Почему это невозможно?
Я думаю, что пропускаю директиву или что-то неправильно понимаю.
Не могли бы вы зажечь меня? Я ценю каждый ответ.
Независимо от того, выполняете ли вы NAT-преобразование внутреннего хоста в менее безопасный интерфейс, вам все равно необходимо разрешить доступ с менее безопасного интерфейса на внутренний.
Учитывая то, как работает PIXOS, если у вас есть нет Списки ACL по умолчанию разрешают любой доступ с более безопасного интерфейса к менее безопасному. Это делает не применяется к трафику из Меньше безопасный интерфейс к любому Больше безопасный интерфейс, однако.
Помимо этого, нет проблем (с разделением горизонта или иначе) с назначением одного и того же IP-адреса с NAT на отдельных интерфейсах; предполагается, что трафик на этих разных интерфейсах в любом случае никогда не будет доступен друг другу (в противном случае вы подключаете свой брандмауэр ...)
В примере DMZ вам нужен ACL для разрешения доступа из DMZ к IP-адрес IMAP-сервера с NAT:
#access-list DMZ_access_in extended permit tcp any host <NAT-ed IP of IMAP server> eq 143
НОТА что списки доступа всегда должны соответствовать адресу с NAT, поскольку они применяются перед NAT.
Паулос и Адаптр, спасибо за ваши комментарии. Я решил это, но необычным способом. Но была информация, которую я вам не сказал. Во-первых: я убрал уровень безопасности с 30 до 0 для сети dmz. Во-вторых: я установил второй явный маршрут к внешнему маршрутизатору, хотя там существует маршрут по умолчанию! Но я дважды проверил: без этого маршрута связи не было, но с ним все работало. Я немного ошеломлен, но он работает: S 0.0.0.0 0.0.0.0 через 10.10.10.1, снаружи И S 10.10.20.1 255.255.255.255 через 10.10.10.1, снаружи. где 10.10.20.1 - imap-сервер.
Еще раз спасибо за решение этой проблемы.