Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hat jemand Erfahrung mit einer Cisco ASA 5505 - Brauche Hilfe bei der Konfiguration

Frage Netzwerke Router & Routing

Mitglied: maikmueller

maikmueller (Level 1) - Jetzt verbinden

07.02.2014 um 22:03 Uhr, 2090 Aufrufe, 1 Kommentar

Hallo und Guten Abend!

Ich betreibe einen Root-Server hinter dem eine Cisco ASA 5505 läuft. Nun ist es so, dass ich vom Betreiber drei öffentliche IP-Adressen bekommen habe. Auf dem Server läuft Windows Server 2008 R2 als Hyper-V Host. Bis jetzt musste ich jeder internen IP-Adresse welche ich für meine Server benutze auf der Cisco per NAT-Roule eine öffentliche IP-Adresse zuteilen da sonst kein Zugriff aufs Internet von der jeweiligen virtuellen Maschine möglich war. Das war bis jetzt kein Problem weil ich dachte ich bekomme noch mehr öffentliche IP-Adressen. Nun ist es so, dass ein weiterer virtueller Server hinzugekommen ist. Nun wollte ich eine weitere öffentliche IP bekommen. Diese stellt mir der Provider aber nur kostenpflichtig zur Verfügung. Ich habe nun das Problem das ich von dem neuen Server kein Internetzugriff bekomme obwohl Gateway und DNS-Server richtig eingetragen sind. Aber die Cisco lässt das nicht durch und ich weiß nicht an welcher Stelle ich bei diesem Teil ansetzen muss. Der Support hat was von IP-Sharing gefaselt, wie das funktioniert oder ob ich einfach nur einen Konfigurationsfehler gemacht habe ist mir nicht klar.

Vielleicht hat einer hierzu eine Hilfestellung für mich. Da würde ich mich sehr freuen.

Vielen Dank und viele Grüße

Maik
Mitglied: aqui
08.02.2014 um 13:22 Uhr
OK, um es nochmal genau zusammenzufassen: Du hast einen VM Host auf dem 3 VMs (oder die Host IP und 2 VMs) werkeln die per 1:1 NAT im Cisco auf die öffentlichen IPs umgesetzt werden.
Nun ist eine weitere VM dazugekommen und du hast logischerweise ein IP Adress Problem weil du die interne RFC 1918 IP der VM nicht mehr auf eine öffentliche umsetzen kannst und diese VM nun quasi hinter der NAT Firewall gefangen ist.
Da dann das Gateway und DNS auf den Cisco zu setzen ist auch wenig hilfreich und kann logischerweis nicht funktionieren weil es keinerlei Zuordnung mehr zu einer öffentlichen IP gibt mit der diese zusätzliche VM dann ins Internet kann. War also zu erwarten das das natürlich nicht klappt....

Generell hast du da keine Chance, denn wie soll das auch gehen ohne weitere IP.
WAS du aber machen kannst ist PAT, also Port Adress Translation (nat overload bei Cisco). Das ist auch genau das was der Provider mit IP Sharing meint. Ist das gleiche Prinzip wie bei einem DSL Router, der alle IPs eines lokalen Netzes auf eine einzige IP umsetzt mit NAT/PAT allerdings mit einigen Nachteilen:
Das Problem ist wie der Name schon sagt das hier nur eine Translation auf Port Adressbasis stattfindet. D.h. ein oder mehrere VMs nutzen eine einzige öffentliche IP um nach draussen ins Internet zu kommen. Anhand der Source und Destination Ports ordnet das NAT dann wieder die lokalen Host IPs zu.
Der Nachteil ist das das kein transparentes NAT ist. Du kannst also nicht von außen (Internet) nach innen (lokales Netz, VMs) ohne eine gültige Session in der NAT Session Tabelle.
Man kann das aber eintragen, das ist das was man unter klassischem Port Forwarding versteht. Also man kann dem Cisco beibringen eingehender Port TCP 80 Traffic für die öffentliche IP x geht lokal auf die hostadresse y mit Port 80.
Damit ist aber dann für Port 80 Schluss, da logischerweise diese statische Port Zuweisung nur ein einziges Mal gemacht werden kann.
Will man weiteren HTTP Traffic auf eine andere VM forwarden muss man zwangsweise einen anderen Port verwenden also z.B. 8080 den man dann auf eine andere lokale IP forwarden kann.
Bedingt dann aber das von außen immer dieser Port angegeben werden muss wenn er nicht der Standardport ist also z.B. htt p<ip_oder_name>:8080.
Damit ist ein Sharing einer einzelnen IP problemlos möglich hat aber Einschränkungen was den Zugriff von außen anbetrifft.
Wenn eine oder mehrere deiner VMs keinen Zugriff von außen benötigen sondern selber immer nur Verbindungen irgendwohin aufbauen z.B. bei einem VPN, dann ist PAT die richtige Lösung. Da kannst du dann mit 10 oder mehr VMs eine einzige IP sharen.
Beispielkonfigs dazu für die ASA findet man wie immer hier:
http:
www.cisco.com/en/US/products/ps6120/prod_configuration_examples_list.html
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst ASA 5505 in einer bestehenden VLAN Layer 3 Umgebung (3)

Frage von Nightloop zum Thema Router & Routing ...

LAN, WAN, Wireless
Cisco ASA Priority Queue via ACL (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (22)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...