форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA внешний IP"	+/–
Сообщение от Aspir (ok) on 25-Апр-12, 14:53
Есть Cisco ASA 5510 На ней две сети: Сеть интернет провайдера: interface Ethernet0/1.10 vlan 10 nameif Sigma security-level 0 ip address 172.50.0.25 255.255.0.0 Сеть внутренних серверов: interface Ethernet0/2 nameif DMZ security-level 100 ip address 195.191.131.249 255.255.255.240 Настройки нат: nat (Sigma) 0 access-list Sigma_nat0_outbound nat (DMZ) 0 access-list DMZ_nat0_outbound_1 nat (DMZ) 0 access-list DMZ_nat0_outbound outside Аксесс-листы: access-list DMZ_nat0_outbound extended permit ip 195.191.131.240 255.255.255.240 any access-list Sigma_nat0_outbound extended permit ip any 195.191.131.240 255.255.255.240 access-list DMZ_nat0_outbound_1 extended permit ip 195.191.131.240 255.255.255.240 172.50.0.0 255.255.0.0 IP адреса сети DMZ все внешние. IP сети Sigma серые. Сейчас всё серверы в сети DMZ нормально нормально пингуются из интернета. Однако сама циска 195.191.131.249 пинговаться не хочет. Дело не в пинге конечно. Просто есть необходимость поднимать Site-to-site тунели к этой же циске, и не понятно как к ней получить доступ с внешки. Какие настройки еще сделать, чтоб циска обрабатывала запросы которые к ней приходят по внешнему IP?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco ASA внешний IP"	+/–
Сообщение от sTALK_specTrum on 26-Апр-12, 09:19
> IP адреса сети DMZ все внешние. IP сети Sigma серые. > Сейчас всё серверы в сети DMZ нормально нормально пингуются из интернета. Однако > сама циска 195.191.131.249 пинговаться не хочет. А и не будет она пинговаться и вообще пакеты пускать на интерфейс "не с той стороны". Фича такая. > Дело не в пинге конечно. Просто есть необходимость поднимать Site-to-site тунели к > этой же циске, и не понятно как к ней получить доступ > с внешки. > Какие настройки еще сделать, чтоб циска обрабатывала запросы которые к ней приходят > по внешнему IP? Попросить прова, пусть он натирует твой внешний 172.50.0.25 во что-то реальное. Пусть даже в 195.191.131.249 - сработает, но опять-таки не для каждого IPSec'а, поскольку на противоположной стороне железяка может сильно удивиться: как так, пакет приходит с реального IP, а внутри identity 172.50.0.25... Например у меня в точно такой же ситуации (Static NAT для внешнего IP ASA) Site-to-site VPN с ней строили обычные Cisco с разными IOS, один LinkSys старой модели, а вот LinkSys RVS4000 уже не хотел из-за этой разницы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Cisco ASA внешний IP"	+/–
	Сообщение от Aspir (ok) on 26-Апр-12, 09:24
	>[оверквотинг удален] >> Какие настройки еще сделать, чтоб циска обрабатывала запросы которые к ней приходят >> по внешнему IP? > Попросить прова, пусть он натирует твой внешний 172.50.0.25 во что-то реальное. Пусть > даже в 195.191.131.249 - сработает, но опять-таки не для каждого IPSec'а, > поскольку на противоположной стороне железяка может сильно удивиться: как так, пакет > приходит с реального IP, а внутри identity 172.50.0.25... > Например у меня в точно такой же ситуации (Static NAT для внешнего > IP ASA) Site-to-site VPN с ней строили обычные Cisco с разными > IOS, один LinkSys старой модели, а вот LinkSys RVS4000 уже не > хотел из-за этой разницы. Ясно. Видимо прийдётся перед циской маршрутизатор воткнуть и на нём внешние адреса разрулить. Есть тут 841 цисочка, думаю её хватит для этого. Спасибо.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема