Добрый день.
Во внутренней сети имеется два сервера (10.10.5.1, 10.10.5.9) и PPTP-сервер (10.10.253.18). Изначально они были подключены к Микротику и выходили через него в интернет. На микротике были настроены статические трансляции во внешний адрес 33.33.33.122 для серверов 10.10.5.1 (TCP 25, 143, 587, 993) и 10.10.5.9 (TCP 80). Также на адресе 33.33.33.122 был настроен динамический PAT для выхода пользователей из внутренней сети в интернет. Кроме этого, Микротик работал в качестве PPTP-сервера. Все работало без проблем (Микротик - это пятирукий семиху..: умеет всё!).
Было решено заменить Микротик на Cisco ASA 5520 (Software Version 8.2(5)46). Настройки Микротика были перенесены на ASA со следующими изменениями:
1. Внешний интерфейс ASA имеет IP 33.33.33.125 и используется для динамического PAT для выхода пользователей внутренней сети в интернет.
2. Статические трансляции для серверов 10.10.5.1 (TCP 25, 143, 587, 993) и 10.10.5.9 (TCP 80) были настроены на виртуальный IP 33.33.33.122.
3. Микротик остался работать в качестве PPTP-сервера, но был спрятан за ASA во внутреннюю сеть 10.10.253.16/29. На ASA была сделана статическая трансляция для порта [TCP1723] PPTP.
После переноса всех этих задач на ASA я столкнулся со следующими странностями.
1. Сервер 10.10.5.1 - это почтовик. Статические трансляции на ASA были настроены для того, чтобы сервер был виден из интернета для обмена почтой с другими почтовиками. Т.е. он должен с ними связываться, указывая адрес 33.33.33.122 в качестве своего IP. Но почему-то некоторые (а может и все) почтовые отправления уходят с нашего почтовика, указывая source address 33.33.33.125 (настроенный для динамического PAT). Соответственно, некоторые сообщения отправляются в спам, так как не проходит валидация обратной записи DNS.
2. Для решения первой проблемы я изменил внешний IP адрес ASA: был 33.33.33.125, стал 33.33.33.122. Почта начала ходить нормально, но спустя некоторое время (15-20 часов), статические трансляции прекратили работать: сканируя из интернета порты (TCP 25, 143, 587, 993) на IP 33.33.33.122 я обнаруживаю их закрытыми.
Как победить эти проблемы?
Схема сети во вложении.
С маршрутизацией проблем нет.
Конфиг ASA 5520
Код:
interface GigabitEthernet0/1
nameif FFINSIDE
security-level 90
ip address 10.10.253.2 255.255.255.252
!
interface GigabitEthernet0/2
nameif INTERNET
security-level 0
ip address 33.33.33.125 255.255.255.248
!
interface GigabitEthernet0/3.2006
vlan 2006
nameif VPN
security-level 80
ip address 10.10.253.17 255.255.255.248
!
access-list ACL_NAT extended permit ip 10.10.0.0 255.255.0.0 any
access-list ACL_INET_IN extended permit tcp any host 33.33.33.122 eq smtp
access-list ACL_INET_IN extended permit tcp any host 33.33.33.122 eq imap4
access-list ACL_INET_IN extended permit tcp any host 33.33.33.122 eq 993
access-list ACL_INET_IN extended permit tcp any host 33.33.33.122 eq 587
access-list ACL_INET_IN extended permit tcp any host 33.33.33.122 eq pptp
access-list ACL_INET_IN extended permit tcp any host 33.33.33.122 eq www
!
global (INTERNET) 1 interface
nat (FFINSIDE) 1 access-list ACL_NAT
static (FFINSIDE,INTERNET) tcp 33.33.33.122 smtp 10.10.5.1 smtp netmask 255.255.255.255
static (FFINSIDE,INTERNET) tcp 33.33.33.122 imap4 10.10.5.1 imap4 netmask 255.255.255.255
static (FFINSIDE,INTERNET) tcp 33.33.33.122 993 10.10.5.1 993 netmask 255.255.255.255
static (FFINSIDE,INTERNET) tcp 33.33.33.122 587 10.10.5.1 587 netmask 255.255.255.255
static (VPN,INTERNET) tcp 33.33.33.122 pptp 10.10.253.18 pptp netmask 255.255.255.255
static (FFINSIDE,INTERNET) tcp 33.33.33.122 www 10.10.5.9 www netmask 255.255.255.255
access-group ACL_INET_IN in interface INTERNET
!
route INTERNET 0.0.0.0 0.0.0.0 33.33.33.121 1
route FFINSIDE 10.10.0.0 255.255.0.0 10.10.253.1 200
!
class-map INSPECT
match default-inspection-traffic
!
!
policy-map INSPECT
class INSPECT
inspect icmp
inspect ftp
inspect pptp
inspect ipsec-pass-thru
inspect dns
!
service-policy INSPECT global
