cregeland Skrevet 11. mai 2009 Del Skrevet 11. mai 2009 (endret) Hei! Har et nettverk med en Cisco ASA5505. Denne har et par static public ip adresser, og jeg har satt opp en web server på en av de ip adressene. Denne kan nås helt fint fra utsiden av nettverket. Problemet er at jeg ikke har tilgang til den serveren med mindre jeg angir intern ip adresse til servern. Dette er litt tungvindt, og jeg lurer på om det er noen må å reroute alle forespørsler til en ekstern ip over til en intern ip? F.eks dette scenarioet: web server public ip : 84.48.199.150 web server internal ip: 192.168.1.1 Ønsker da at en forespørsel fra en workstation, f.eks 192.168.1.21 til 84.48.199.150 skal bli reroutet til 192.168.1.1 Har en Win2k3 server som kjører DNS, er det mulig å endre noe her for å f.eks si at en forespørsel på test.abc.no går til 192.168.1.1. På den måten kunne jeg unngått hele problemet med at jeg ikke kan nå public ip fra innsiden av nettverket. Takknemlig for tips:) Endret 11. mai 2009 av cregeland Lenke til kommentar
CrZy_T Skrevet 11. mai 2009 Del Skrevet 11. mai 2009 Dns er nok veien du vil gå her ja Lenke til kommentar
tyldum Skrevet 12. mai 2009 Del Skrevet 12. mai 2009 Har ikke registrert noen loopback-funksjonalitet på ASA. På de Linux-baserte brannveggene jeg har levert har jeg rett og slett kjørt NAT når forespørsel kommer fra innsiden (intern-ip-klient -> FW => DNAT -> intern-ip-server) Lenke til kommentar
cregeland Skrevet 12. mai 2009 Forfatter Del Skrevet 12. mai 2009 (endret) Da blir det nok DNS som blir løsningen. Som sagt har vi en win2k3 server som kjører DNS. DNS er ikke min sterkeste side og vil tro ting fort blir ekkelt hvis jeg fikler meg ting jeg ikke vet hva er:) Er det noen som som kunne fortalt hvordan jeg setter opp at en forespørsel til en web side skal gå til lokal IP? Hvis jeg skulle tippe vil jeg tro at det vil være å lage en ny Forward lookup zone? Dette er snakk om et subdomene som hostes hos en tredjepart. Subdomenet peker til vår web server som altså har en public ip. Vi ønsker da at forespørsler til test.domene.no som kommer innenfra nettverket skal routes direkte til lokal ip. Endret 12. mai 2009 av cregeland Lenke til kommentar
bjokys Skrevet 12. mai 2009 Del Skrevet 12. mai 2009 (endret) ASA 5505 løser dette problemet gjennom DNS rewrite. I ASDM, er det bare å huke av for DNS-rewrite i NAT-oppføringen. Er du mest glad i kommandolinja, er det bare å legge til dns i slutten av static-kommandoen. Eks: static (inside,outside) 84.48.199.150 192.168.1.1 netmask 255.255.255.255 dns DNS-lookups som går gjennom brannmuren fra 192.168.1.0-nettet, vil da bli skrevet om av ASA-en til internaddresen istedet. Bruker dette med stort hell for en kunde pr. idag. Edit: glemte å si, dersom DNS-serveren deres allerede befinner seg i 192.168.1.0-nettet, må denne selsagt settes opp med den private addressen, da trafikken ikke går gjennom ASA'en. Edit 2: her er Cisco sin dokumentasjon om DNS rewrite/doctoring for ASA og PIX-er. Endret 12. mai 2009 av bepe86 Lenke til kommentar
cregeland Skrevet 13. mai 2009 Forfatter Del Skrevet 13. mai 2009 (endret) Takk for tips om ASA'en - lærte noe nytt der:) La inn den static route'n men det gjorde ingen forskjell, sikkert fordi DNS serveren som du sier er på insiden - faktisk samme maskin som webserveren. Sånn sett er går vel trafikken gjennom ASA'en (DNS serveren er for internt bruk, dersom DNS serveren ikke har noen entry på hosten som skal nås videresendes request'en til en ekstern DNS server)? Da er vi vel tilbake til å løse dette med DNS? I så fall kjempefint om noen kan tipse om hvordan dette løses på DNS serveren. Endret 13. mai 2009 av cregeland Lenke til kommentar
Gjest Slettet-t8fn5F Skrevet 13. mai 2009 Del Skrevet 13. mai 2009 På DNS serveren bør du sette opp en reversed lookupzone som peker til ditt eget nett... Lenke til kommentar
bjokys Skrevet 13. mai 2009 Del Skrevet 13. mai 2009 (endret) cregeland - inneholder DNS-serveren allerede oppføring for det domenet? Viss ikke, skal jo den kontakte utsiden, og responsen vil bli skrivd om. For å teste det, tast inn "nslookup <domenenavn> 4.2.2.2" i cmd.exe, og sjekk om det er en offentlig eller privat addresse som kommer i retur. Dersom det er en offentlig, og du har skrudd på DNS-doctoring på NAT-oppføringen, må du sjekke at du ASA'en insiserer DNS-trafikk - Firewall->Service Policy Rules->inspection_default -> (edit) Rule Actions -> (verifiser at DNS er skrudd på). Dette gjelder ASDM 6.1, og genererer følgende: policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Endret 13. mai 2009 av bepe86 Lenke til kommentar
cregeland Skrevet 14. mai 2009 Forfatter Del Skrevet 14. mai 2009 Har nå laget en forward lookup zone for domene.no, hvor jeg laget nye host records for domenet, og dette fungerer nå akkurat slik det jeg ønsker:) Det neste som da dukker opp er vel DNS cache, er det noen måte å bruke GPO til å f.eks automatisk kjøre ipconfig /flushdns ved ver logon? Er mye laptoper i bruk og disse farter frem og tilbake mellom kontoret... ja... problemet sier seg vel selv:) Takk for god info her folkens! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå