原谅我,因为我对ASA不是很有经验,但我相信我所configuration的应该是有效的。
我有一个ASA 5510运行版本8.3(2),它连接到内部,外部和dmznetworking,以及一个RA VPN。 内部和DMZnetworking从内部/ dmz到互联网时都configuration了dynamicNAT。 这些dynamicNAT都按预期工作。
试图通过VPN访问DMZnetworking时出现问题。
我在ASA上得到的错误消息是:
%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src outside:xxxx dst dmz: yyyy (type 8, code 0) denied due to NAT reverse path failure 我认为这是因为从DMZ返回的stream量将与dynamicNAT规则相匹配,并且不在外部接口。
所以我把一个静态的没有NAT规则的DMZ子网给VPN:
nat (dmz,outside) source static DMZ_VLAN DMZ_VLAN destination static VPN VPN
但是…我仍然收到错误。
现在,这里是我更加困惑的地方。 添加静态NAT之后,我的sh nat如下所示:
1 (inside) to (outside) source static any any destination static VPN VPN description VPN No NAT translate_hits = 3, untranslate_hits = 1198 2 (dmz) to (outside) source static DMZ_VLAN DMZ_VLAN destination static VPN VPN translate_hits = 0, untranslate_hits = 0
如果我将DMZ移到外部规则的上面,从内部到外部的规则,我可以访问DMZ,但是我不能从VPN访问内部。
我不知道为什么这些规则的顺序会有所作为,因为如果最上面的规则不匹配,它应该继续stream下来。
任何帮助将不胜感激,虽然我的感觉告诉我,我只是在一个明显的地方犯了一个愚蠢的错误。
编辑:更多信息。
接口安全级别:
里面:100
dmz:50
外:0
来自show run nat NAT规则:
nat (inside,outside) source static any any destination static VPN VPN description VPN No NAT nat (dmz,outside) source static DMZ_VLAN DMZ_VLAN destination static VPN VPN object network DMZ_VLAN nat (dmz,outside) dynamic interface object network In_VLAN nat (inside,outside) dynamic interface
访问列表不应该,因为我有sysopt connection permit-vpn上,除非我误解了这个命令,它应该启用来自VPN的stream量,无论ACL。
此外,ICMPstream量正在被检查,所以返回stream量应该返回,不受访问列表的影响(再次,除非我误解交通检查)
networking:
内部:10.1.4.0/24
DMZ:10.1.254.0/24
VPN:10.1.10.0/24
Packet-tracer从DMZ到VPN
Type: NAT Subtype: Result: ALLOW Config: nat (dmz,outside) source static DMZ_VLAN DMZ_VLAN destination static VPN VPN Additional Information: Static translate 10.1.254.1/0 to 10.1.254.1/0
packet-tracer一直到“Allow”为止。
固定!
我不完全确定究竟是怎么回事,但这似乎正在发生。
让我们再次重温NAT规则。
nat (inside,outside) source static any any destination static VPN VPN nat (dmz,outside) source static DMZ_VLAN DMZ_VLAN destination static VPN VPN
注意两个规则(应该是)对不同接口做同样的事情的区别。
高端NAT如此开放的原因是因为实际上有多个networking可以来自我们networking的内部,所以我们认为把它打开比定义每个可能出现的networking要容易。
似乎一直在发生的问题是,当stream量从VPNstream入时,ASA会在决定通过防火墙的path之前,通过它看起来像是NAT。 因此,它将检查对顶级NAT的stream量,并匹配,因为它肯定会从VPN到任何..而返回stream量将从DMZ_VLAN到VPN,因此,将不符合最高规则。
我不确定是否匹配第一个NAT会导致ASA引导内部stream量,或者只是意识到出站stream量将匹配不同的NAT。
一旦我修改了最重要的NAT规则:
nat (inside,outside) source static IN_VLANS IN_VLANS destination static VPN VPN
一切正常完美!
奇怪的问题..但似乎故事的道德是具体的一切,即使你不认为这会导致任何问题..因为它可以。
好吧,稍微less一点混乱。 仍然 – 我没有看到任何networking定义; 是什么让你觉得使用nonat在这里是有用的? 所涉及的networking可以解决这个谜,但是我们现在还不知道。
DMZ(主要有公共IP)通常不直接连接到VPN(大部分不会)。
以下引起了我的注意:
所以我把一个静态的没有NAT规则的DMZ子网给VPN:
nat(dmz,outside)源静态DMZ_VLAN DMZ_VLAN目的地静态VPN VPN
但是,这完全相反: nat (X,Y)是从 Y 到 X的静态nat
这也不是一个nonat规则。
一个非VPN的应该来自另一个接口:
nat 0 (outside,dmz) DMZ VPN
这将DMZ IP提供给VPN接口,而不应用外部接口的规则。
当然,你也可以从外部到非军事区做一个正常的NAT,但是这通常是不鼓励的,因为你是从低到高的安全性创build访问。
AZZ,
从VPN客户端访问DMZ。 思科ASA 9.x
感谢您的信息,因为它帮助我解决了问题。 我的ASA代码是9.x,它不再使用nonats,而是实际使用静态NAT。 我发现在你的防火墙上,我有一些与目标VPNnetworking一起使用的NAT。 删除和添加细节解决了我的问题,可以确认从我的VPN客户端访问内部和DMZ。 我用下面的下面几行来解决我的问题。 希望这可以帮助别人。
删除了从Any到VPNnetworkingIP的问题NAT:10.10.8.x
no nat (inside,any) source static any any destination static OBJ-10.10.8.0-24 OBJ-10.10.8.0-24 no-proxy-arp description NONAT no nat (outside,any) source static any any destination static OBJ-10.10.8.0-24 OBJ-10.10.8.0-24 no-proxy-arp description NONAT
在下面添加了针对内部和DMZ访问VPNnetworking的特定NAT。
nat (inside,outside) source static NETWORK_OBJ_10.0.0.0_8 NETWORK_OBJ_10.0.0.0_8 destination static NETWORK_OBJ_10.10.8.0_24 NETWORK_OBJ_10.10.8.0_24 no-proxy-arp route-lookup nat (dmz,outside) source static OBJ-10.10.7.0-24 OBJ-10.10.7.0-24 destination static NETWORK_OBJ_10.10.8.0_24 NETWORK_OBJ_10.10.8.0_24 no-proxy-arp route-lookup