Коллеги,

добрый день!


Вопрос про NAT:

есть АСА5505, есть 2 интерфейса inside (сеть 10.13.0.0\22) и eft (192.168.16.64\26)

хотелось бы сделать обычную трансляцию адресов - любого свободного из сети 10.13.0.0

например, 10.13.2.200 на хост из 2ой сети, например 192.168.16.82 (и обратно)

то есть проверять доступность хоста из сети eft, делая пинг на 10.13.2.200 из сети 10.13.0.0

в данной ситуации inter-vlan routing на аса не подходит как решение.


сейчас при пинге 10.13.2.200 трансляция не срабатывает

asa #sh nat

NAT policies on Interface eft:
match ip eft host 192.168.16.82 inside 10.13.0.0 255.255.252.0
static translation to 10.13.2.200
translate_hits = 0, untranslate_hits = 26

asa# ping 192.168.16.82
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.16.82, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

конфиг кратко

interface Vlan1
nameif inside
security-level 80
ip address 10.13.1.29 255.255.252.0
!
interface Vlan66
nameif eft
security-level 100
ip address 192.168.16.126 255.255.255.192
!

access-list STAT extended permit ip host 192.168.16.82 10.13.0.0 255.255.252.0

static (eft,inside) 10.13.2.200 access-list STAT


где ошибка?

спасибо!

Я вообще не уверен, может ли существовать такая конструкция, как у Вас написано.
Для того, что бы пинговать снаружи, Вам надо написать обычную Regular Static NAT.
static (inside, eft) 192.168.16.82 10.13.2.200 netmask 255.255.255.255

Когда Вы в сети 192.168.16.64/26 Вы будете пинговать адрес 192.168.16.82 он будет транслироваться в адрес 10.13.2.200.
Так вроде бы.
Не забудьте написать правило в ACL на интерфейсе eft, разрешающее прохождение icmp пакетов через интерфейс.

спасибо за ответ.
тоже не уверен в работе данной трансляции

сейчас убрал старое и сделал

static (eft,inside) 10.13.2.200 192.168.16.82 netmask 255.255.255.255

правило на пинг есть на интерфесе

asa# sh nat

NAT policies on Interface eft:
match ip eft host 192.168.16.82 inside any
static translation to 10.13.2.200
translate_hits = 0, untranslate_hits = 4 (увеличивается когда пингую 10.13.2.200 из сети 10.13.0.0)

идея - достучаться до отдельных хостов 192.168.16.64\26 из сети 10.13.0.0
то есть при обращении, к примеру, на 10.13.2.200 запрос будет идти на 192.168.16.82

может это можно как-то по другому реализовать ?

С каким из этих адресов реально существует хост?

192.168.16.82 - реальный хост

он должен отвечать при обращении на виртуальный 10.13.2.200

Должен. А что сейчас происходит если попробовать пинговать 10.13.2.200, например, с хоста и сети 10.13.0.0/22?
proxyarp не отключено?

пока не получается..

по поводу интерфейсов

по сути дела эти 2 внутр интерфейса, security-level не должен влиять...

итак, я пингую виртуальный 10.13.2.200 с хоста 10.13.2.126
пакет приходит на inside видит виртуальный адрес 10.13.2.200 и должен его транслировать в реальный 192.168.16.82 и отвечать обратно на 10.13.2.126
но трансляция на срабатывает...

при схеме на АСЕ

static (inside,eft) 10.13.2.200 access-list STAT - hits вообще по нулям)

#sh arp
eft 192.168.16.82 0017.6f0e.0e56 33
eft 192.168.16.81 0017.6f0e.0e55 89

попробовал так - ничего не изменилось

access-list STAT extended permit icmp host 192.168.16.82 10.13.0.0 255.255.252.0
static (inside,eft) 192.168.16.82 10.13.2.200 netmask 255.255.255.255
access-group STAT in interface eft-pin
(при access-group STAT in interface inside тоже самое)

Как это security-level не должен влиять?.. Влияет, конечно, же.
ACL перепишите.
access-list STAT extended permit icmp host 10.13.2.200 10.13.0.0 255.255.252.0

Packet Tracer что говорит по этому поводу?