Come posso raggiungere il mio server interno sull'IP esterno?

Stiamo provando a configurare il nostro Cisco 5505 ed è stato fatto tramite ASDM.

C'è un grosso problema che non siamo in grado di risolvere, ed è quando vai dall'interno all'esterno e poi di nuovo dentro.

Esempio, abbiamo un server "dentro" e vogliamo essere in grado di raggiungere questo server con lo stesso indirizzo se siamo all'interno o se siamo all'esterno.

Il problema è l'aggiunta di una regola che consentirà il traffico dall'interno verso l'esterno e poi di nuovo di nuovo.

Il firewall ASA non può instradare il traffico. Devi mascherare l'indirizzo interno contro l'indirizzo esterno.

Soluzione 1: DNS doctoring con NAT statico

Supponiamo che l'indirizzo IP del tuo sito Web esterno sia 1.2.3.4, che viene quindi nuovamente inoltrato (o direttamente NAT) all'indirizzo IP interno 192.168.0.10. Con il dottorato DNS, accadrà quanto segue:

1. Il client all'interno richiede http://www.companyweb.com , che inizialmente si traduce in 1.2.3.4
2. L'ASA intercetta il pacchetto di risposta DNS e sostituisce il record A con 192.168.0.10
3. Il cliente diventa molto felice, poiché ora può aprire il sito Web dell'azienda :-)

Per informazioni più dettagliate su come abilitarlo: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Soluzione 2: server DNS interno

Questo è utile se si dispone di un solo IP esterno e si esegue il port forwarding di questo IP a molti servizi interni su server diversi (supponiamo che la porta 80 e 443 vada a 192.168.0.10, la porta 25 vada a 192.168.0.11 ecc.).

Non richiede modifiche alla configurazione su ASA, ma richiederà la duplicazione del dominio esterno su un server DNS interno (Active Directory ha questo incorporato). Devi solo creare gli stessi record che hai ora, solo con IP interni sui servizi che hai internamente.

"Soluzione" 3: interfaccia DMZ con IP pubblici

Non ho intenzione di entrare in molti dettagli su questo, in quanto richiede di ottenere una sottorete di indirizzi IP dal tuo ISP indirizzata al tuo ASA. In questi giorni è molto difficile con la fame di IPv4.

Poiché altre domande simili vengono contrassegnate come duplicate con un riferimento a questo, desidero integrare l'eccellente risposta di @pauska con una quarta opzione.

Soluzione 4: instradamento del traffico tramite NAT Hairpinning

Consentire il ritorno del traffico attraverso un'interfaccia su un dispositivo Cisco PIX / ASA, ad esempio quando un client nat: ed accede a un server nat: ed tramite il suo IP pubblico è chiamato NAT Hairpinning di Cisco.

Utilizza essenzialmente gli stessi parametri di configurazione del solito per nat e port forwarding, ma con l'aggiunta di questo comando:

same-security-traffic permit intra-interface

e una seconda mappatura statica per il traffico interno-interno al server:

static(inside,inside) i.i.i.i x.x.x.x

Questo è descritto in dettaglio completo con un esempio di configurazione qui per un design a due interfacce: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

Ed ecco un'alternativa NAT di destinazione per un design a tre interfacce: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

Non è possibile accedere all'interfaccia esterna su un Pix / ASA dall'interno. È necessario reindirizzare le richieste DNS per l'indirizzo esterno del server all'indirizzo interno.