مشکل nat در ASA پشت روتر سیکو

**avrine_r** · 2011-10-30, 11:43 AM

با سلام خدمت دوستان گرام
من یک روتر سیسکو دارم که از طریق 0/0 اینترفیس به اینترنت وصل هستم و از طرف 0/1 به پورت outside سیسکو ASA.
زمانیکه روی پورت outside ASAT استاتیک NAt انجام میدم (غیر از IP خود outside ) مسیر از بیرون به داخل برقرار نمیهشه چونکه IPی که نت میشه غیراز IP اینترفیس ASA میباشد.
برای رفع مشکل زمانیکه از روی هاست مربوطه یک Ping به خارج از شبکه صورت میگیره و این روتر سیسکو میفهمه که این هاست کجاست ، مسیر خارج به داخل هم حل میشه.
به نظرم مشکل از ARP باید باشه بین روتر سیسکو و پورت ASA
هر چند من no sysopt noproxyarp outside با این دستور proxy arp رو روی اینترفیس outside فعال میکنم.
ولی نمیدونم چرا مشکل حل نمیشه.
ممنونم نظرتون رو بفرمایید.

موضوعات مشابه:

**aliafzalan** · 2011-10-30, 12:04 PM

سلام
شما وقتی Static NAT انجام میدید برای دسترسی از بیرون به داخل (از Security Level پایین با بالا) باید ACL هم تعریف کنید و بگید که چه پورتهایی باز باشه.
البته من هنوز دقیقا سوالتون را متوجه نشدم

اگه مشکلتون با خط بالا حل نشد، یکمی بیشتر توضیح بدید.

**avrine_r** · 2011-10-30, 12:13 PM

سلام جناب افضلان
بخشید که سوال مبهم بود
این کار صورت گرفته و تمای اکسس لیستها کار میکنه و کانترشون بالا میره. ولی چون روتر سیکو بطور مستقیم به ASA وصل هست و این هاستی که ما استاتیک نت میکنیم به ای پی نت میشود که روی پورت فیزیکال نیست. به همین خاطر روت از روتر به داخل asa نمی آید. مگر اینکه یک پینگ از هاست به بیرون زده بشه!

**aliafzalan** · 2011-10-30, 12:36 PM

خب نباید مشکلی وجود داشته باشه.
کانفیگ (روتر و فایروال) و یه شمای کلی از شبکه بزارید تا دقیقتر بشه نظر داد.

**avrine_r** · 2011-10-30, 01:03 PM

ASA(outside port)---->Router (interface fa0/1)
Router ip : 73.1.1.1
asa ip: 73.1.1.2
my host(192.168.1.3) for static nat : 73.1.1.3
از بیرون نمیشه 73.1.1.3 را دید مگر اینگه از داخل هاست یک پینگ به بیرون مثلا 4.2.2.4 زده بشه!!!

**aliafzalan** · 2011-10-30, 01:15 PM

چرا IP ها اینجوری هستن؟ شما فایروال را بریج کانفیگ کردید؟اگه جوابتون نه هست، چرا همه IP ها توی یه رنج هستن؟ نمیشه که، باید شبکشون با هم فرق کنه.
الان لینک اینترنت به روتر وصل هست یا فایروال؟

**avrine_r** · 2011-10-30, 01:24 PM

ممنونم که وقت میذارید...
نگاه کنید من اینترنت رو از 0/0 روتر میگیرم و از 0/1 به asa وصل هستم. روی 0/0 هر آی پی هست من کاری ندارم.
ولی این که من از طرف طرف اینترنت پورت ASA رو میبینم ولی IP نت شده رو نه!!! ولی از هاست پینگ که میکنم این مسیر ردیف میشه.
البته اینم هست که سیسکو ASA روی پورت 0/0 (اینترنت) داره Proxy ARP عمل میکنه یعنی وقتی که روتر میگه کیه صاحب آی پی 73.1.1.3 ، آدرس mac خودشو به روتر میده و ...

**avrine_r** · 2011-10-30, 05:20 PM

sorry
up...

**aliafzalan** · 2011-10-30, 06:22 PM

یعنی شما وقتی از بیرون سرور را ping میکنید، ping نمیشه. ولی وقتی از سرور بیرون را ping میکنید ping انجام میشه. بعدش همون لحظه از بیرون میتونید سرور را ping کنید؟؟؟
چی شد!

بعدش شما این مشکل را فقط توی ping دارید و یا روی بقیه پروتکل ها، همین مشکل وجود داره؟
اگه کانفیگ فایروال و نسخه اون را مینوشتید خوب بود!

**avrine_r** · 2011-10-30, 06:33 PM

بله دقیقا
به محض اینکه از داخل یک ping میشه arp table روتر سیسکو ردیف میشه و همون لحظه از بیرون به داخل دسترسی دارم (هرچی + ping)

**aliafzalan** · 2011-10-30, 07:57 PM

به طور پیش فرض، ASA به درخواستهای ARP ای که مربوط به Static NAT های تعریف شده روش هست جواب میده.
مثل همین شبکه را چندجا دارم و این مشکل وجود نداره. احتمالا توی کانفیگ شما دستوری هست که باعث این مشکل میشه. ولی ظاهرا به دلایل امنیتی نمیتونید کانفیگتون را بزارید.
الان چیزی به ذهنم نمیرسه. ولی به احتمال زیاد مشکل توی همون Proxy ARP است.
اگه خواستید کانفیگ را بزارید، نسخه ASA را هم بزارید.
موفق باشید.

**avrine_r** · 2011-10-30, 08:07 PM

سعی میکنم یه کانفیگ نمونه بذارم ممنونم.

**avrine_r** · 2011-10-31, 01:42 PM

نوشته اصلی توسط avrine_r

سعی میکنم یه کانفیگ نمونه بذارم ممنونم.

قراره که هاست به ip 73.1.1.3 استاتیک نت بشه
آدرس IP روتر 73.1.1.1
و روتر و ASA با کابل شبکه بصورت back to back به هم وصلند.
!
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password ******************** encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 73.1.1.2 255.255.255.248
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/2
nameif dmz1
security-level 50
ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/3
nameif dmz2
security-level 50
ip address 10.10.1.1 255.255.255.0
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IRST 3 30
dns domain-lookup dmz2
dns server-group DefaultDNS
name-server 192.168.0.215
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp

access-list dmz1 extended permit tcp any host 172.16.1.2 eq 3389
access-list dmz1 extended permit tcp any host 172.16.1.2 eq www
access-list dmz1 extended permit tcp any host 172.16.1.2 eq 445
access-list dmz1 extended permit tcp any host 172.16.1.2 eq 4899
access-list dmz1 extended permit tcp any host 172.16.1.2 eq 448
access-list dmz1 extended permit tcp any host 172.16.1.2 eq https
access-list dmz1 extended permit tcp any host 172.16.1.2 eq netbios-ssn
access-list dmz1 extended permit udp any host 172.16.1.2 eq netbios-dgm
access-list dmz1 extended permit ip host 172.16.1.2 any
access-list dmz1 extended permit udp any host 172.16.1.2 eq netbios-ns
access-list dmz1 extended permit udp any host 172.16.1.2eq 135
access-list dmz1 extended permit udp any host 172.16.1.2eq 445
access-list dmz1 extended permit tcp any host 172.16.1.2eq 138
************************************************** **
access-list outside extended permit icmp any any echo
access-list outside extended permit icmp any any echo-reply
access-list outside extended permit tcp any host 73.1.1.3 eq www
*******************************************
any echo-reply
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 5000
mtu dmz1 5000
mtu dmz2 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
************************************************** *****
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0
static (dmz1,outside) 73.1.1.3 172.16.1.2 netmask 255.255.255.255
************************************************** *****
access-group outside in interface outside
access-group outside_access_out out interface outside
access-group inside_access_in in interface inside
access-group dmz1_access_in in interface dmz1
access-group dmz1 out interface dmz1
access-group dmz2todmz1 in interface dmz2
access-group dmz2 out interface dmz2
route outside 0.0.0.0 0.0.0.0 73.1.1.1 1 (cisco router eth0/1 )
************************************************** *******
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
dhcprelay timeout 60
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:cbfed8a3645ff8fd64b40df6359a8198
: end

**aliafzalan** · 2011-11-01, 09:04 AM

به نظر من همه چیز ok هست، قاعدتا نباید مشکلی وجود داشته باشه.
شاید مشکل از سمت اون روتره باشه، شما به روتر دسترسی دارید؟

یه تست انجام بدید. کابلی که از فایروال به روتر میخوره را قطع کنید و فایروال را به یک PC وصل کنید و از PC تست کنید، ببینید باز همین مشکل وجود داره یا نه.

**mgholami** · 2011-11-01, 01:59 PM

دقیقا مشکل از روتر هستش

موضوع: مشکل nat در ASA پشت روتر سیکو

پیوند

ابزارهای موضوع

نمایش

مشکل nat در ASA پشت روتر سیکو

کلمات کلیدی در جستجوها:

پورت های پشت فایروال asa

دستور inspection در فایروال asa

چه دستوری در کانفیگ روتر باعث ping نشدن dns server میشود

asa nat

دستورات فایروال asa مثل inspect

مشکل up شدن یکی از پورتهای روتر

passive mode ftp مشکل با isa

پشت روتر

رفع مشکل timed out در ping ip کردن روتر

نحوه باز کردن یک ip روی ASA

روش های حل کرن مشکل nat در شبکه

ftp مشکل با nat

نمونه حل arp table

احمال access list بر روی روتر

cisco asa تفاوت router

مفهوم دستور permit udp any any eq boot pc

مشکل در ارتباط با asa

دستور سیسکو clock timezone irst

فایروال asa global

بىست أورىن أىرس mac

burst in rate limit command cisco router

rate limit burst ibsng

تفاوت rate limit و class map و policy map

لیست دسترسی در روتر

رفع مشکل nat

برچسب برای این موضوع

مجوز های ارسال و ویرایش