Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Cisco ASA Portforward...

1
Skriv svar
Permalänk
Medlem

Cisco ASA Portforward...

Hej!

Är snart i läget att jag börjar slita mitt hår ang detta.

Har en ASA 5505 med base license och SW 8.4(5) ASDM 7.1(1)52.
Tanken är att från insidan portmappa RDP samt FTP(21) till port 21021 på utsidan till en server (192.168.10.200) och sedan udp/6881 - 6889 till en annan server (192.168.10.210)

Gick bra att NAT:a mha object nat, både rdp och ftp till 192.168.10.200
Men, måste man verkligen bara köra object nat? Har testat att göra exakt samma sak med twice-nat istället, men då vägrar den släppa igenom något. Mäkta irriterande.
För att nat:a udp/6881 - 6889 försöker jag att använda mig av twice-nat.

Följande config har jag lagt på:

interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.10.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address xxx.xxx.xxx.xxx 255.255.255.0

!! Default NAT
object network INSIDE_NETWORK
 subnet 192.168.10.0 255.255.255.0
 nat (inside,outside) dynamic interface

!! NAT to 192.168.10.200
object network HOST_192.168.10.200_RDP
 host 192.168.10.200
 nat (inside,outside) static interface service tcp 3389 3389

object network HOST_192.168.10.200_FTP
 host 192.168.10.200
 nat (inside,outside) static interface service tcp 21 21021

!! objects
object network HOST_192.168.10.210
 host 192.168.10.210

object service RDP
 service tcp destination eq 3389

object service FTP-PORT
 service tcp destination eq 21021

object service UDP-PORTS
 service udp destination range 6881 6889

!! TwiceNAT UDP Ports
nat (inside,outside) after-auto source static HOST_192.168.10.210_FTP interface service UDP-PORTS UDP-PORTS

!! Access-list for outside access to inside
access-list outside_access_in extended permit object RDP any object HOST_192.168.10.200_RDP 
access-list outside_access_in extended permit object UDP-PORTS any object HOST_192.168.10.210
access-list outside_access_in extended permit object FTP-PORT any object HOST_192.168.10.200

!! Apply access-list to outside interface
access-group outside_access_in in interface outside

Har googlat och googlat, läst och svurit lite.
Förstår inte varför samma regler inte fungerar mha twiceNAT. Med objectNAT fungerar det bra, men jag var inte sugen på att skriva massvis av rader ifall man måste NATa en hel massa portar till en server, då ser det bättre ut med twiceNAT..

Skulle uppskattas i massor att någon har något tips eller idé som leder mig rätt väg!

Redigera
Citera flera Citera
Permalänk
Medlem

Har ingen ASA att prova på men testa något sådant här.

object network INSIDE_NETWORK
subnet 192.168.10.0 255.255.255.0
nat (inside,outside) dynamic interface

object network HOST_192.168.10.200
host 192.168.10.200
description FTP-/RDP-server

object network HOST_192.168.10.210
host 192.168.10.210
description whatever

object service FTP-PORT-EXTERNAL
service tcp source eq 21021

object service FTP-PORT-INTERNAL
service tcp source eq 21

object service RDP
service tcp source eq 3389

object service UDP-PORTS
service udp source range 6881 6889


nat (inside,outside) after-auto source static HOST_192.168.10.200 interface service FTP-PORT-INTERNAL FTP-PORT-EXTERNAL 
nat (inside,outside) after-auto source static HOST_192.168.10.200 interface service RDP RDP
nat (inside,outside) after-auto source static HOST_192.168.10.210 interface service UDP-PORTS UDP-PORTS

access-list outside_access_in extended permit object RDP any object HOST_192.168.10.200 
access-list outside_access_in extended permit object UDP-PORTS any object HOST_192.168.10.210
access-list outside_access_in extended permit object FTP-PORT-INTERNAL any object HOST_192.168.10.200

access-group outside_access_in in interface outside
Senast redigerat
Visa signatur

i7 8700k @ 4.7GHz | NH-L12 | ASUS Z270i ROG Strix Gaming | EVGA 1080 FTW | 32GB Corsair Vengeance 3000MHz | Samsung 970 Evo M.2 500GB, 840 250GB, Crucial MX500 2TB | Loque Ghost S1 | XB271HU | QX2710 | U2412M | U2719D | Filco Majestouch 2 MX Brown TKL

Redigera
Citera flera Citera
Permalänk
Medlem

Har testat din config utan framgång.
Alla serivce objects måste vara destination iom att det är den porten som ska översättas.

Det spelar dock ingen roll, verkar helt omöjligt att få det att fungera mha twiceNAT regler. Har även testat att flytta dessa ovanför objectNAT.. Gör jag objectNAT fungerar det hur bra som helst..

Får köra så tillsvidare, skulle bara vara roligt att veta varför det inte fungerar med twicenat...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av goure^:

Har testat din config utan framgång.
Alla serivce objects måste vara destination iom att det är den porten som ska översättas.

Det spelar dock ingen roll, verkar helt omöjligt att få det att fungera mha twiceNAT regler. Har även testat att flytta dessa ovanför objectNAT.. Gör jag objectNAT fungerar det hur bra som helst..

Får köra så tillsvidare, skulle bara vara roligt att veta varför det inte fungerar med twicenat...

Gå till inlägget

Prova att ta bort all annan NAT och konfa upp enklast möjliga twice NAT (utan olika portar) för att se om det fungerar.

object service FTP-PORTS
service tcp source eq 21

object network HOST_192.168.10.200
host 192.168.10.200 

nat (inside,outside) source static HOST_192.168.10.200 interface service FTP-PORTS FTP-PORTS

Får du det att fungera så kan du bygga vidare ifrån det.

Visa signatur

i7 8700k @ 4.7GHz | NH-L12 | ASUS Z270i ROG Strix Gaming | EVGA 1080 FTW | 32GB Corsair Vengeance 3000MHz | Samsung 970 Evo M.2 500GB, 840 250GB, Crucial MX500 2TB | Loque Ghost S1 | XB271HU | QX2710 | U2412M | U2719D | Filco Majestouch 2 MX Brown TKL

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av era909:

Prova att ta bort all annan NAT och konfa upp enklast möjliga twice NAT (utan olika portar) för att se om det fungerar.

object service FTP-PORTS
service tcp source eq 21

object network HOST_192.168.10.200
host 192.168.10.200 

nat (inside,outside) source static HOST_192.168.10.200 interface service FTP-PORTS FTP-PORTS

Får du det att fungera så kan du bygga vidare ifrån det.

Gå till inlägget

Vill fanken inte fungera, varken ftp eller rdp. Kollar jag i asdm ser ju twiceNAT reglerna precis likadana ut som de fungerande objectNAT reglerna..
Däremot fungerar det att köra med twiceNAT för UDP portarna till den andra hosten (en qnap nas).

object network HOST_192.168.10.210
 description qnap nas
 host 192.168.10.210

object service UDP-PORTS
 service udp destination range 6881 6889

nat (inside, outside) source static HOST_192.168.10.210 interface service UDP-PORTS UDP-PORTS

access-list outside_access_in extended permit object UDP-PORTS any object HOST_192.168.10.210

Kollar jag loggen i asdm ser jag inte en enda rad ifall jag försöker köra rdp mot windows servern..

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara