思科 ASA 5505,8.4.3
- LAN:10.0.15.0,安全级别100
- 无线:10.0.17.0,安全级别 75
- 广域网:安全级别 0
我需要从无线接口访问 LAN 上的服务器。问题是无线流量从 WAN1 发出,无法返回 LAN。为了解决 LAN 上的这个问题,我简单地为服务器创建了 DNS 条目以指向 LAN IP。这在无线接口上是不可能的,因为它使用外部 DNS 服务器。我希望无线接口使用外部 IP,然后通过防火墙返回。
我必须发布哪些其他信息来帮助找到解决该问题的方法?
答案1
不是吹毛求疵,但从无线到 LAN 并不是发夹弯,因为流量从一个接口传输到另一个接口。发夹弯可以是从无线到无线或从 LAN 到 LAN —— 比您要求的更具挑战性。
但是,要将流量从无线传输到 LAN:
- 由于无线必须
security-level 75
连接到 LAN,因此security-level 100
请确保您有一个允许来自真实源 IP无线接入真实 IP在 LAN 上。无论 NAT 如何,在 ASA 8.3+ 中都会使用真实 IP。 - 如果您想通过无线方式使用 LAN 上托管的服务的公共 IP,最简单的方法是使用
any
映射接口的关键字,即服务器本身(LAN 接口后面)的对象 NAT。
例子:
! Define object for LAN network and Object NAT dynamic PAT
object network net-10.0.15.0-24
description LAN Network
subnet 10.0.15.0 255.255.255.0
nat (LAN,WAN) dynamic interface
! Define object for WIRELESS and Object NAT dynamic PAT
object network net-10.0.17.0-24
description WIRELESS Network
subnet 10.0.17.0 255.255.255.0
nat (WIRELESS,WAN) dynamic interface
! Define object for a server hosted in LAN, note the *any* in the Object NAT
object network hst-10.0.15.100
description Server on LAN
host 10.0.15.100
nat (LAN,any) static 1.2.3.4
! Tweak as needed -- permits WIRELESS to LAN due to security-level difference.
access-list WIRELESS_access_in extended permit ip object net-10.0.17.0-24 object net-10.0.15.0-24
! Beware of implicit deny at end, make sure to configure this ACL properly.
! May have to finish with a permit any any. Included below for reference.
access-list WIRELESS_access_in extended permit ip any any
! Apply the ACL to the interface
access-group WIRELESS_access_in in interface WIRELESS
在对象 NAT 中使用关键字时要非常小心any
。尤其是动态 PAT 和动态 NAT。阅读ASA 8.4 配置指南 NAT 部分