Назад | Перейти на главную страницу

Как мне подключиться к моему внутреннему серверу по внешнему IP-адресу?

Мы пытаемся настроить Cisco 5505, и это было сделано через ASDM.

Есть одна большая проблема, которую мы не можем решить, и это когда вы идете изнутри наружу и снова внутрь.

Например, у нас есть сервер «внутри», и мы хотим иметь возможность подключиться к этому серверу с тем же адресом, если мы находимся внутри или снаружи.

Проблема заключается в добавлении правила, разрешающего трафик изнутри наружу, а затем обратно.

Межсетевой экран ASA не может маршрутизировать трафик. Вам нужно замаскировать внутренний адрес по сравнению с внешним адресом.

Решение 1.Лечение DNS с помощью статического NAT

Допустим, IP-адрес вашего внешнего веб-сайта - 1.2.3.4, который затем снова перенаправляется (или напрямую NAT) на внутренний IP-адрес 192.168.0.10. При лечении DNS произойдет следующее:

  1. Клиент внутри просит http://www.companyweb.com, что изначально означает 1.2.3.4
  2. ASA перехватывает ответный пакет DNS и заменяет A-запись на 192.168.0.10.
  3. Клиент очень доволен, так как теперь он может открыть сайт компании :-)

Для получения более подробной информации о том, как это включить: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Решение 2. Внутренний DNS-сервер

Это полезно, если у вас есть только один внешний IP-адрес, и вы перенаправляете этот IP-адрес во многие внутренние службы на разных серверах (скажем, порт 80 и 443 переходит на 192.168.0.10, порт 25 идет на 192.168.0.11 и т. Д.).

Это не требует изменения конфигурации ASA, но потребует от вас дублирования вашего внешнего домена на внутреннем DNS-сервере (в Active Directory это встроено). Вы просто создаете те же записи, что и сейчас, только с внутренними IP-адресами служб, которые у вас есть внутри.

"Решение" 3: интерфейс DMZ с общедоступными IP-адресами

Я не буду вдаваться в подробности по этому поводу, так как он требует, чтобы вы получили подсеть IP-адресов от вашего интернет-провайдера, направленную на ваш ASA. В наши дни очень тяжело с голодом по IPv4.

Поскольку другие похожие вопросы помечаются как дубликаты со ссылкой на здесь, я хочу дополнить отличный ответ @pauska 4-м вариантом.

Решение 4. Маршрутизация трафика через NAT-закрепление

Разрешение трафика обратно через интерфейс на устройстве Cisco PIX / ASA, например, когда естественный клиент обращается к естественному серверу через его общедоступный IP-адрес, Cisco называет закреплением NAT.

По сути, он использует те же параметры конфигурации, что и для nat и перенаправления портов, но с добавлением этой команды:

same-security-traffic permit intra-interface

и второе статическое отображение для внутреннего трафика на сервер:

static(inside,inside) i.i.i.i x.x.x.x

Это подробно описано вместе с примером конфигурации здесь для дизайна с двумя интерфейсами: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

А вот альтернатива Destination NAT для трех интерфейсов: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

Вы не можете получить доступ к внешнему интерфейсу на Pix / ASA изнутри. Вам следует перенаправить DNS-запросы для внешнего адреса сервера на внутренний адрес.