Cisco ASA 5505, 8.4.3
Из БЕСПРОВОДНОГО интерфейса мне нужно получить доступ к серверам в локальной сети. Проблема в том, что БЕСПРОВОДНОЙ трафик направляется по WAN1 и не возвращается в LAN. Чтобы решить эту проблему в локальной сети, я просто создал записи DNS для серверов, чтобы они указывали на IP-адреса локальной сети. Это невозможно для БЕСПРОВОДНОГО интерфейса, поскольку он использует внешние DNS-серверы. Я бы хотел, чтобы БЕСПРОВОДНОЙ интерфейс использовал внешние IP-адреса, а затем проходил через брандмауэр.
Какую дополнительную информацию я должен опубликовать, чтобы помочь найти решение этой проблемы?
Не буду педантичным, но переход от БЕСПРОВОДНОЙ к ЛВС не является проблемой, поскольку трафик передается от одного интерфейса к другому. Переход от БЕСПРОВОДНОЙ к БЕСПРОВОДНОЙ или от ЛВС к ЛВС - в целом более сложная проблема, чем то, что вы просили.
Однако для передачи трафика из БЕСПРОВОДНОЙ в LAN:
security-level 75
к LAN security-level 100
убедитесь, что у вас есть ACL, разрешающий трафик от IP реального источника по БЕСПРОВОДНОМУ настоящие IP в локальной сети. Независимо от NAT, в ASA 8.3+ используются реальные IP-адреса.any
ключевое слово для отображаемого интерфейса Object NAT самого сервера (за интерфейсом LAN).Пример:
! Define object for LAN network and Object NAT dynamic PAT
object network net-10.0.15.0-24
description LAN Network
subnet 10.0.15.0 255.255.255.0
nat (LAN,WAN) dynamic interface
! Define object for WIRELESS and Object NAT dynamic PAT
object network net-10.0.17.0-24
description WIRELESS Network
subnet 10.0.17.0 255.255.255.0
nat (WIRELESS,WAN) dynamic interface
! Define object for a server hosted in LAN, note the *any* in the Object NAT
object network hst-10.0.15.100
description Server on LAN
host 10.0.15.100
nat (LAN,any) static 1.2.3.4
! Tweak as needed -- permits WIRELESS to LAN due to security-level difference.
access-list WIRELESS_access_in extended permit ip object net-10.0.17.0-24 object net-10.0.15.0-24
! Beware of implicit deny at end, make sure to configure this ACL properly.
! May have to finish with a permit any any. Included below for reference.
access-list WIRELESS_access_in extended permit ip any any
! Apply the ACL to the interface
access-group WIRELESS_access_in in interface WIRELESS
Будьте очень осторожны при использовании any
ключевое слово в Object NAT. Особенно с динамическим PAT и динамическим NAT. Прочтите Руководство по настройке ASA 8.4 Раздел NAT