cisco asa med port forwarding til interne ip's

- er det korrekt at en cisco ASA boks ikke kan forwarde til 2 forskellige interne ip's smtp/ftp osv: svar


Jo det kan den godt kræver godt nok lidt erfaring med programmering i cisco men kan lade sig gøre. du kan f.eks lave SVI/VLAN interface samt skal du have dit subnetting korrekt bygget op.

- samtidig have vpns op imod samme ip: svar

det ligegyldigt om hvor mange public ip addresser du har det der vigtigt er at du har en static's public ip address du kan evt. få folk til at validere sig op mog en AC/DC server

- og nat'e brugere på det private net bag denne ip? svar:

endnu en gang jo kan lade sig gøre: med subnetting samt nogle switch og router :)

------------------------------------------------------

ligeså snart du får en public ip address tildelt kan du stort set gøre alt med den ip address

du skal bare natte/subnette rigtig :)

vh Mikkelsen

se, det er lidt mere komplekst end som så. og der skulle sidde en cisco netværks konsulent på sage, og da jeg ikke er stærk i cisco asa, så må jeg lade andre vurdere og lige nu siger du, jo det er muligt

så undrer det jo mig at andre som burde være erfarne cisco folk, vover at sige at vores checkpoint setup ikke fungere på en cisco asa boks da den ikke kan håndtere vpn tunnels , forwarding, og udgående intern nat udfra 1 pub ip.

du vil mene at det helt sikkert kan lade sig gøre?

når du nævner vlan til smtp/ftp, så er begge maskiner i en DMZ idag som også tilfældigvis er et vlan på switchen, jeg ved ikke hvorfor vlan i det her er vigtigt? er det vigtige ikke bare de er adskilt på separat segment?

men ok, jeg prøver nok at gå imod strømmen mandag, og få en uddybende forklaring. måske er det bare konsulent kompetancer som halter hos dem, siden de mener noget andet.

jeg gentager lige helt præcist hvad krav er:
2 servers (incoming forward) (en ftp, en smtp i samme dmz)
8-10 forskellige vpn's (deriblandt remote access for brugere)
flere vlan's nat's bag den ene public ip vi har.

som jeg så også kan tilføje virker fint på checkpoint ;-)

Hej.
Det kan sagtens lade sig gøre, men du skal have en SecPlus-licens på dåsen for at kunne lave forbindelser fra yderside til inderside. Så kan du fint PAT'e en ydersideport til en IP på indersiden, f.eks. SMTP og HTTP mod hver sin server.
Problemet i forb.m. skiftet kan opstå pga. ARP cache, der lige skal time ud.
Hvis det giver mening, skal jeg gerne lægge et eksempel på hvordan du laver PAT (NAT på CheckPoint'sk).
/Carsten

Hov, jeg skal lige komme med en rettelse til mit indlæg - det er IKKE nødvendigt med SecPlus, hvis de står i DMZ, dog kan der ikke skabes forbindelse fra DMZ og ind mod LAN, kune fra LAN mod DMZ.

tak,
du mener altså at asa ikke kan router til den forwardede port fra LAN men kun udefra. det kan så nok godt accepteres.
jeg vil drøfte informationen med andre involveret og se hvor det bringer mig.

Routing UDEN SecPlus giver:
WAN til DMZ
LAN til DMZ
LAN til WAN
DMZ til WAN

Routing MED SecPlus giver:
WAN til DMZ
WAN til LAN <= OBS!
DMZ til LAN <= OBS!
LAN til DMZ
LAN til WAN
DMZ til WAN

jeg har nu fået at vide at det er en Cisco ASA 5520, og der er ikke behov for SecPlus til at etablere det. Så SecPlus skulle kun være en hjælp på den mindre model 5505 or 5515.
så det er desværre stadig ikke løst.
der snakkes nu om    1 public ip til VPN/firewall, 1 public til ftp/smtp , og sidst 1 til udgående public internet traffik. lyder meget modaat mine checkpoint erfaringer.