dreamforrest
Nov 04, 2011
view3356
view11
1
Goto Top

Welche Funktion - PAT bzw. Port Redirection?

GermanQuestionLAN, WAN, WirelessNetworks
Hallo,

ich möchte folgende Infrastruktur abbilden:

5 Webserver sollen über eine externe IP erreichbar sein.

10.120.50.31 :80 -------------------- 193.99.213.98 :9001
10.120.50.32 :80 -------------------- 193.99.213.98 :9002
10.120.50.33 :80 -------------------- 193.99.213.98 :9003
10.120.50.34 :80 -------------------- 193.99.213.98 :9004
10.120.50.35 :80 -------------------- 193.99.213.98 :9005

Hardware wird eine ASA Firewall sein.

Welche Policy oder Konfiguration braucht eine ASA dafür zusätzlich.
Also wie z. B. eine route für beide Richtungen anlegen, NAT Policy etc.

Eine Übersicht würde mir sehr weiterhelfen.

Bsp.:
Mach das, dann das, weil sonst geht es nicht...
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 175787

Url: https://administrator.de/contentid/175787

Printed on: April 18, 2024 at 18:04 o'clock

11 Comments
Latest comment
Goto Top
Member: aqui
aqui Nov 04, 2011 at 17:53:51 (UTC)
Goto Top
Routen sind ja Blödsinn, denn die haben ja nix mit NAT zu tun ! Das ist ein simples NAT was du auf der ASA einrichten musst. Die Cisco Seite hat zig Beispielkonfigs dazu. Das ist ein simpler Einzeiler pro Server in der Konfig !
Member: DreamForrest
DreamForrest Nov 04, 2011 at 19:14:45 (UTC)
Goto Top
Ja, aber das ist doch eher PAT bzw. ein Port Redirection !?

NAT !?

Wie am sinnvollsten ein Portscan bzw. Test durchführen ?
Member: DreamForrest
DreamForrest Nov 04, 2011 at 19:44:17 (UTC)
Goto Top
Gibt es eine bessere Variante um dies, wie oben aufgeführt, umzusetzen ?

Eventl. mit AnyConnect über den Webbrowser ?

Könnte unter AnyConnect trotzdem eine Zuordung der Webserver erfolgen ?

Ist eine Konfiguration sehr aufwendig ?
Member: aqui
aqui Nov 05, 2011 at 08:37:33 (UTC)
Goto Top
Ob du es PAT oder NAT nennst ist erstmal kosmetischer Natur. Einen Portscan kannst du mit den üblichen Webseiten bei heise.de usw. von aussen testen.
Wenn du über AnyConnect arbeitest hast du ja eine VPN Verbindung. Das erzwingt dann immer ein starten des VPN Clients vor dem Zugriff.
Dein Thread ist aber so zu verstehen, das die Server im permanten Zugriff da sein sollen, oder ?
Dann ist wieder NAT/PAT dein Freund ! Hier steht wie es geht:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...
Wie gesagt..die Konfig ist eine einzige Zeile in der Cisco Konfig pro Server. Da kannst du dann mal selber beurteilen ob das nun "aufwendig" ist oder nicht !
Member: DreamForrest
DreamForrest Nov 05, 2011 at 08:44:53 (UTC)
Goto Top
Ich werde mich gleich mal daran versuchen und mal austesten.
Eine Zeile, wenn es denn nicht viel drum herum ist, dann sollte das recht einfach sein.

Ja, richtig. Die WEB-SRV sollen permanent aktiv sein.
Zumidest kann (wahrscheinlich) nicht jeder den VPN Client nach extern ausführen
oder
gar installieren.

Wie steht es denn mit WEBvpn, also direkt über den Browser ?!
Das wäre dann eine Alternative, oder ?
Member: DreamForrest
DreamForrest Nov 05, 2011 at 08:52:35 (UTC)
Goto Top
In overloading, each computer on the private network is translated to the same IP address (213.18.123.100) but with a different port number assignment:

Das wäre genau richtig. Aber das sind nur Erklärungen - keine Syntax dazu !?

Noch etwas:

10.120.50.31 :80 -------------------- 193.99.213.98 :9001
10.120.50.32 :80 -------------------- 193.99.213.98 :9002
10.120.50.33 :80 -------------------- 193.99.213.98 :9003
10.120.50.34 :80 -------------------- 193.99.213.98 :9004
10.120.50.35 :80 -------------------- 193.99.213.98 :9005

Kann ich die "externen Ports" auch statisch festlegen ?

Die einzelnen :80 Dienste sollen stets gezielt von extern aufgerufen werden.
Wenn einfach der nächste freie Port genutzt wird, dann weiß ich doch nie welchen Webserver ich nun habe, oder ?

Das was ich an Dokus finde verwirrt mich ein wenig.
Es wird davon ausgegangen, das die lokalen Clients eine gloablen öffentlichen Server aufrufen.
Bei mir wäre es aber umgekehrt.

Also:
Inside-Local --------- Outside-Global
10.120.50.31 -------- 193.99.213.98 :9001 (muss :9001)
dst= -------------------- src=


Irgendwo habe ich da ein Denkfehler...


Ps.: Es gibt "Add public Server" - Ist das so eine Art fertige DMZ ?
Member: aqui
aqui Nov 06, 2011 at 20:45:12 (UTC)
Goto Top
Die Cisco Webseite hat ein paar fertige Fokus und Konfigs für so ein Szenario:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
oder allgemein hier:
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ...
unter der Rubrik NAT...
Member: DreamForrest
DreamForrest Nov 06, 2011 at 20:57:31 (UTC)
Goto Top
Die Syntax hat sich beim NAT geändert. oh nein...
Member: DreamForrest
DreamForrest Nov 06, 2011 at 21:11:16 (UTC)
Goto Top
Warum hat hier
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
der Router B eine df route zum Router A, anstatt auch über die ASA zu gehen ?

Welchen Grund hat dies ?
Member: DreamForrest
DreamForrest Nov 07, 2011 at 12:20:02 (UTC)
Goto Top
Wichtige Frage:

Muss ich denn beim NAT overloading (PAT) eine statische route haben ?

Oder genügt ein NAT statement ?!
Member: aqui
aqui Nov 08, 2011 at 14:04:32 (UTC)
Goto Top
Nein, musst du nicht, weil die Outgoing Pakete ja die IP des Outgoing Netzes benutzen und nicht die interne IP. Geht ja auch nicht, weil du dort RFC 1918 IPs benutzt die es im Internet nicht gibt !
Da du eh eine default Route zum Provider hast entfällt also jegliches Routing Gefummel !
GermanQuestionLAN, WAN, WirelessNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 CommentjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker