Автор |
Сообщение |
IlyaL
Зарегистрирован: 26 фев 2013, 16:02 Сообщения: 27
|
Коллеги,
добрый день!
Вопрос про NAT:
есть АСА5505, есть 2 интерфейса inside (сеть 10.13.0.0\22) и eft (192.168.16.64\26)
хотелось бы сделать обычную трансляцию адресов - любого свободного из сети 10.13.0.0
например, 10.13.2.200 на хост из 2ой сети, например 192.168.16.82 (и обратно)
то есть проверять доступность хоста из сети eft, делая пинг на 10.13.2.200 из сети 10.13.0.0
в данной ситуации inter-vlan routing на аса не подходит как решение.
сейчас при пинге 10.13.2.200 трансляция не срабатывает
asa #sh nat
NAT policies on Interface eft: match ip eft host 192.168.16.82 inside 10.13.0.0 255.255.252.0 static translation to 10.13.2.200 translate_hits = 0, untranslate_hits = 26
asa# ping 192.168.16.82 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.16.82, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
конфиг кратко
interface Vlan1 nameif inside security-level 80 ip address 10.13.1.29 255.255.252.0 ! interface Vlan66 nameif eft security-level 100 ip address 192.168.16.126 255.255.255.192 !
access-list STAT extended permit ip host 192.168.16.82 10.13.0.0 255.255.252.0
static (eft,inside) 10.13.2.200 access-list STAT
где ошибка?
спасибо!
|
26 фев 2013, 16:09 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Я вообще не уверен, может ли существовать такая конструкция, как у Вас написано. Для того, что бы пинговать снаружи, Вам надо написать обычную Regular Static NAT. static (inside, eft) 192.168.16.82 10.13.2.200 netmask 255.255.255.255
Когда Вы в сети 192.168.16.64/26 Вы будете пинговать адрес 192.168.16.82 он будет транслироваться в адрес 10.13.2.200. Так вроде бы. Не забудьте написать правило в ACL на интерфейсе eft, разрешающее прохождение icmp пакетов через интерфейс.
|
26 фев 2013, 18:07 |
|
|
IlyaL
Зарегистрирован: 26 фев 2013, 16:02 Сообщения: 27
|
спасибо за ответ. тоже не уверен в работе данной трансляции
сейчас убрал старое и сделал
static (eft,inside) 10.13.2.200 192.168.16.82 netmask 255.255.255.255
правило на пинг есть на интерфесе
asa# sh nat
NAT policies on Interface eft: match ip eft host 192.168.16.82 inside any static translation to 10.13.2.200 translate_hits = 0, untranslate_hits = 4 (увеличивается когда пингую 10.13.2.200 из сети 10.13.0.0)
идея - достучаться до отдельных хостов 192.168.16.64\26 из сети 10.13.0.0 то есть при обращении, к примеру, на 10.13.2.200 запрос будет идти на 192.168.16.82
может это можно как-то по другому реализовать ?
|
26 фев 2013, 19:02 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
IlyaL писал(а): 10.13.2.200 192.168.16.82 С каким из этих адресов реально существует хост?
|
26 фев 2013, 22:23 |
|
|
IlyaL
Зарегистрирован: 26 фев 2013, 16:02 Сообщения: 27
|
192.168.16.82 - реальный хост
он должен отвечать при обращении на виртуальный 10.13.2.200
|
27 фев 2013, 09:24 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Должен. А что сейчас происходит если попробовать пинговать 10.13.2.200, например, с хоста и сети 10.13.0.0/22? proxyarp не отключено?
|
27 фев 2013, 12:11 |
|
|
IlyaL
Зарегистрирован: 26 фев 2013, 16:02 Сообщения: 27
|
пока не получается..
по поводу интерфейсов
по сути дела эти 2 внутр интерфейса, security-level не должен влиять...
итак, я пингую виртуальный 10.13.2.200 с хоста 10.13.2.126 пакет приходит на inside видит виртуальный адрес 10.13.2.200 и должен его транслировать в реальный 192.168.16.82 и отвечать обратно на 10.13.2.126 но трансляция на срабатывает...
при схеме на АСЕ
static (inside,eft) 10.13.2.200 access-list STAT - hits вообще по нулям)
#sh arp eft 192.168.16.82 0017.6f0e.0e56 33 eft 192.168.16.81 0017.6f0e.0e55 89
|
01 мар 2013, 12:13 |
|
|
IlyaL
Зарегистрирован: 26 фев 2013, 16:02 Сообщения: 27
|
попробовал так - ничего не изменилось
access-list STAT extended permit icmp host 192.168.16.82 10.13.0.0 255.255.252.0 static (inside,eft) 192.168.16.82 10.13.2.200 netmask 255.255.255.255 access-group STAT in interface eft-pin (при access-group STAT in interface inside тоже самое)
|
01 мар 2013, 12:40 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Как это security-level не должен влиять?.. Влияет, конечно, же. ACL перепишите. access-list STAT extended permit icmp host 10.13.2.200 10.13.0.0 255.255.252.0
Packet Tracer что говорит по этому поводу?
|
01 мар 2013, 13:08 |
|
|