Vi har en Cisco ASA (modelnr ukendt) som bare har en public ip tildelt.
På denne sidder 2 forskellige SMTP og FTP servere som skal serviceres fra samme public ip.
ovenpå dette så har vi diverese VPN forbindelser(8-10vpns) som også går fra samme ip.
jeg har kun checkpoint erfaring og spørger derfor: - er det korrekt at en cisco ASA boks ikke kan forwarde til 2 forskellige interne ip's smtp/ftp osv.. - samtidig have vpns op imod samme ip - og nat'e brugere på det private net bag denne ip?
er cisco ikke god nok til dette formål? der er netværks konsulenter som forsøger at sige at Cisco skal have flere public ip's modsat checkpoint fw, som altså kan klare alt dette på 1 public ip?
der er også problemer med at internet router skal nulstilles, når cisco ASA tilsluttes og checkpoint/nokia boks fjernes. Når vi så efter 2 dage switcher tilbage til checkpoint fw, så er der ingen internet router problemer. er det et specifikt cisco problem? og måske en løsning på dette udover router reboot (for at tømme ARP)
- er det korrekt at en cisco ASA boks ikke kan forwarde til 2 forskellige interne ip's smtp/ftp osv: svar
Jo det kan den godt kræver godt nok lidt erfaring med programmering i cisco men kan lade sig gøre. du kan f.eks lave SVI/VLAN interface samt skal du have dit subnetting korrekt bygget op.
- samtidig have vpns op imod samme ip: svar
det ligegyldigt om hvor mange public ip addresser du har det der vigtigt er at du har en static's public ip address du kan evt. få folk til at validere sig op mog en AC/DC server
- og nat'e brugere på det private net bag denne ip? svar:
endnu en gang jo kan lade sig gøre: med subnetting samt nogle switch og router :)
se, det er lidt mere komplekst end som så. og der skulle sidde en cisco netværks konsulent på sage, og da jeg ikke er stærk i cisco asa, så må jeg lade andre vurdere og lige nu siger du, jo det er muligt
så undrer det jo mig at andre som burde være erfarne cisco folk, vover at sige at vores checkpoint setup ikke fungere på en cisco asa boks da den ikke kan håndtere vpn tunnels , forwarding, og udgående intern nat udfra 1 pub ip.
du vil mene at det helt sikkert kan lade sig gøre?
når du nævner vlan til smtp/ftp, så er begge maskiner i en DMZ idag som også tilfældigvis er et vlan på switchen, jeg ved ikke hvorfor vlan i det her er vigtigt? er det vigtige ikke bare de er adskilt på separat segment?
men ok, jeg prøver nok at gå imod strømmen mandag, og få en uddybende forklaring. måske er det bare konsulent kompetancer som halter hos dem, siden de mener noget andet.
jeg gentager lige helt præcist hvad krav er: 2 servers (incoming forward) (en ftp, en smtp i samme dmz) 8-10 forskellige vpn's (deriblandt remote access for brugere) flere vlan's nat's bag den ene public ip vi har.
som jeg så også kan tilføje virker fint på checkpoint ;-)
Hej. Det kan sagtens lade sig gøre, men du skal have en SecPlus-licens på dåsen for at kunne lave forbindelser fra yderside til inderside. Så kan du fint PAT'e en ydersideport til en IP på indersiden, f.eks. SMTP og HTTP mod hver sin server. Problemet i forb.m. skiftet kan opstå pga. ARP cache, der lige skal time ud. Hvis det giver mening, skal jeg gerne lægge et eksempel på hvordan du laver PAT (NAT på CheckPoint'sk). /Carsten
Hov, jeg skal lige komme med en rettelse til mit indlæg - det er IKKE nødvendigt med SecPlus, hvis de står i DMZ, dog kan der ikke skabes forbindelse fra DMZ og ind mod LAN, kune fra LAN mod DMZ.
tak, du mener altså at asa ikke kan router til den forwardede port fra LAN men kun udefra. det kan så nok godt accepteres. jeg vil drøfte informationen med andre involveret og se hvor det bringer mig.
jeg har nu fået at vide at det er en Cisco ASA 5520, og der er ikke behov for SecPlus til at etablere det. Så SecPlus skulle kun være en hjælp på den mindre model 5505 or 5515. så det er desværre stadig ikke løst. der snakkes nu om 1 public ip til VPN/firewall, 1 public til ftp/smtp , og sidst 1 til udgående public internet traffik. lyder meget modaat mine checkpoint erfaringer.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.