Недавно я установил межсетевой экран Cisco ASA 5505 на границе нашей локальной сети. Настройка проста:
Интернет <--> ASA <--> LAN
Я хотел бы предоставить хостам в локальной сети возможность подключения IPv6, настроив туннель 6in4 для SixXS.
Было бы неплохо иметь ASA в качестве конечной точки туннеля, чтобы он мог защищать трафик IPv4 и IPv6.
К сожалению, ASA, по-видимому, не может создать туннель сам и не может переадресовывать трафик протокола 41, поэтому я считаю, что вместо этого мне пришлось бы сделать одно из следующих действий:
Что вы посоветуете оптимальному способу настройки?
P.S. При необходимости у меня есть запасной общедоступный IP-адрес, и я могу развернуть другую виртуальную машину в нашей инфраструктуре VMware.
У меня была такая же проблема, и я ее решил. На самом деле ваш вопрос мне очень помог. Уловкой было петлевое туннелирование.
В версии 8.3 были значительные изменения ОС ASA, особенно в отношении NAT. Это то, что я использую, поэтому, вероятно, синтаксис не будет работать до 8.3. Я не знаю, можно ли было сделать это до 8.3.
Вот как это устроено. Я включу несколько фрагментов конфигурации ниже, чтобы подтвердить это.
Как и у вас, у меня есть ASA между моим пограничным маршрутизатором и моей внутренней сетью. У меня только один общедоступный IPv4-адрес. Мне удалось передать трафик по протоколу NAT 41 между определенным внешним хостом и конкретным внутренним хостом, используя внешний общедоступный IP-адрес ASA. Туннель завершается на внутреннем хосте.
Внутренний хост имеет два интерфейса Ethernet. Один, подключенный к внутренней сети, работает только с IPv4. Другой, подключенный к тому же сегменту, что и внешний интерфейс ASA, выполняет только IPv6. Также существует туннельный интерфейс для туннеля IPv6. Конфигурация туннеля была взята непосредственно с веб-сайта Hurricane Electric. Если у вас настроен туннель, они могут показать вам подробные инструкции по настройке как минимум для 8 различных операционных систем.
ASA использует IPv4-адрес граничного маршрутизатора в качестве маршрута IPv4 по умолчанию. Он использует IPv6-адрес конечной точки туннеля в качестве IPv6-адреса по умолчанию. Внутренние хосты используют ASA в качестве своего маршрута по умолчанию для любой версии, за исключением конечной точки туннеля, которая использует свой туннельный интерфейс по умолчанию для IPv6.
Пакеты IPv6 проходят через ASA дважды в каждом направлении. На выходе они проходят через ASA к конечной точке туннеля, где они помещаются в туннель, и снова через ASA. И IPv4, и IPv6 получают все преимущества межсетевого экрана ASA.
Настоящая уловка заключалась в передаче трафика протокола 41 через ASA. Вот что заставило это работать:
object service 6in4
service 41
object network ipv6_remote_endpoint
host x.x.x.x
object network ipv6_local_endpoint
host y.y.y.y
access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint
nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint
Удачи с этим!
Роб