Разрешение внутреннего трафика на внешний на ASA 5505

При использовании Cisco ASDM у вас есть возможность использовать «Мастер запуска», сохранив текущую конфигурацию.

В главном окне ASDM выберите «Мастера» и «Мастер запуска ...»

Выберите «Изменить существующую конфигурацию» ...

Пройдите по экранам, пока не дойдете до страницы «Перевод адресов». Для вашей настройки вы хотите использовать преобразование адресов портов (PAT). Используйте внешний IP-адрес межсетевого экрана. Это означает, что весь трафик, для которого явно не задано статическое сопоставление NAT (например, ваш сервер), будет исходить из IP-адреса внешнего интерфейса брандмауэра. Возможно, вам придется удалить существующее правило NAT, прежде чем это сработает. Повторно добавьте его после запуска мастера.

Также см этот учебник.

Прежде всего, проверьте, какая у вас версия Cisco ASA:

show version | inc Software Version

Теперь, исходя из версии, при условии, что нижеприведенное верно

• вне - имя внешнего интерфейса
• внутри - имя внутреннего интерфейса
• 10.20.33.0/24 - подсеть, в которой внутри интерфейс принадлежит
• 10.20.33.1 - IP-адрес внутри интерфейс
• A.B.C.D - IP-адрес внутренней подсети будет преобразован в NAT (например, IP-адрес вне интерфейс)

вам необходимо настроить динамическую запись NAT следующим образом:

• до 8,2:

  global (outside) 1 A.B.C.D netmask 255.255.255.255
  nat (inside) 1 10.20.33.0 255.255.255.0
  

• 8.3 и выше:

  object network anyname
   host A.B.C.D        
  object network inside
   range 10.20.33.2 10.20.33.254
   nat (inside,outside) dynamic anyname
  

Вот и все. Пожалуйста, дайте мне знать, если вам понадобится дополнительная помощь.

Проблема в том, что ваш брандмауэр не знает, как передавать трафик из внутренней (частной) сети во внешнюю (общедоступную) сеть. Скорее всего, это сообщение «Отсутствует правило трансляции NAT» в журнале, когда внутренние IP-адреса пытаются выйти наружу.

Предполагая, что у вас уже есть ACL, позволяющий им выйти наружу, вам необходимо настроить правило динамического NAT для всех внутренних адресов, чтобы преобразовать NAT к одному общедоступному IP-адресу на внешнем интерфейсе. Сначала вам нужно настроить глобальный пул, содержащий общедоступный IP-адрес, который вы хотите использовать, а затем настроить правило динамического NAT для вашей внутренней подсети на внутреннем интерфейсе. Это покроет остальных внутренних клиентов одним выстрелом.

global (OUTSIDE) 1 <public IP> netmask 255.255.255.255
nat (INSIDE) 1 <internal subnet> 255.255.255.0

Ответ ewwhite правильный, но неполный. Чего не хватает, так это информации о шлюзе. ASA НЕ устанавливает шлюз ISP с помощью мастера запуска, даже начиная с ASA 9.2 (2) .4. Это вызывает безумие, потому что тогда никакие внутренние хосты не смогут получить доступ к Интернету.

Чтобы настроить шлюз через ASDM:

1. Авторизоваться
2. Перейдите в Конфигурация-> Настройка устройства-> Маршрутизация-> Статические маршруты.
3. Нажмите кнопку «Добавить» (в правом верхнем углу). Откроется диалоговое окно «Добавить статический маршрут».
4. Выберите: Тип IP-адреса: IPv4; Интерфейс: снаружи; Сеть: obj_any; IP шлюза: X.X.X.X.
5. Нажмите ОК, Применить и Сохранить соответственно.

Несколько заметок. Сначала замените значение шлюза вашего ISP на X.X.X.X. Во-вторых, эти инструкции основаны на ASDM 7.3 (1). Более старые версии ASDM похожи, но могут потребовать некоторой адаптации. Наконец, obj_any представляет IP-адрес 0.0.0.0 и сетевую маску 0.0.0.0. Если у вас нет "obj_any", используйте значения 0.0.0.0 0.0.0.0.

Чтобы настроить шлюз через CLI:

1. включить
2. настроить терминал
3. маршрут за пределами 0.0.0.0 0.0.0.0 X.X.X.X 1
4. скопировать запущенную конфигурацию запуска конфигурации

Как и раньше, замените значение шлюза на X.X.X.X. Если вы не знаете свой шлюз, вы можете легко найти его, введя свой IP-адрес и маску сети на этот сайт.