Как мне добраться до моего внутреннего сервера по внешнему IP?

Мы пытаемся настроить наш Cisco 5505, и это было сделано через ASDM.

Есть одна большая проблема, которую мы не можем решить, это когда вы идете изнутри наружу и снова возвращаетесь.

Например, у нас есть сервер «внутри», и мы хотим иметь возможность доступа к этому серверу с тем же адресом, если мы находимся внутри или если мы снаружи.

Проблема заключается в добавлении правила, которое разрешает трафик изнутри наружу, а затем обратно.

Брандмауэр ASA не может маршрутизировать трафик. Вам нужно замаскировать внутренний адрес против внешнего адреса.

Решение 1: исправление DNS со статическим NAT

Допустим, IP-адрес вашего внешнего веб-сайта - 1.2.3.4, который затем перенаправляется через порт (или напрямую через NAT) на внутренний IP-адрес 192.168.0.10. С лечением DNS произойдет следующее:

1. Клиент по внутренним запросам http://www.companyweb.com , который изначально переводится в 1.2.3.4
2. ASA перехватывает ответный пакет DNS и заменяет A-запись на 192.168.0.10
3. Клиент очень доволен, так как теперь он может открыть веб-сайт компании :-)

Для получения более подробной информации о том, как включить это: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Решение 2. Внутренний DNS-сервер

Этот вариант полезен, если у вас есть только один внешний IP-адрес, и вы перенаправляете этот IP-адрес во многие внутренние службы на разных серверах (скажем, порт 80 и 443 переходят на 192.168.0.10, порт 25 - на 192.168.0.11 и т. Д.).

Он не требует изменения конфигурации ASA, но потребует дублирования внешнего домена на внутреннем DNS-сервере (в Active Directory это встроено). Вы просто создаете те же самые записи, что и сейчас, только с внутренними IP-адресами сервисов, которые у вас есть внутри.

«Решение» 3: интерфейс DMZ с публичными IP-адресами

Я не буду вдаваться в подробности этого вопроса, так как он требует, чтобы вы получили подсеть IP-адресов от вашего провайдера, направленную на ASA. Это очень тяжело в наши дни с голоданием IPv4.

Поскольку другие подобные вопросы помечены как дубликаты со ссылкой здесь, я хочу дополнить отличный ответ @pauska 4-м вариантом.

Решение 4: Маршрутизация трафика через NAT Hairpinning

Разрешение трафика обратно через интерфейс на устройстве Cisco PIX / ASA, например, когда клиент nat: ed обращается к серверу nat: ed через его общедоступный ip, Cisco называет NAT Hairpinning.

Он использует в основном те же параметры конфигурации, что и для nat и перенаправления портов, но с добавлением этой команды:

same-security-traffic permit intra-interface

и второе статическое отображение для внутреннего трафика на сервер:

static(inside,inside) i.i.i.i x.x.x.x

Это подробно описано вместе с примером конфигурации здесь для двухинтерфейсного дизайна: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

А вот альтернатива Destination NAT для дизайна с тремя интерфейсами: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

Вы не можете получить доступ к внешнему интерфейсу на Pix / ASA изнутри. Вы должны перенаправить запросы DNS для внешнего адреса сервера на внутренний адрес.