Routing tra interfacce su ASA
Inviato: mer 21 mag , 2008 3:12 pm
Ciao,
ho un ASA con tre interfacce: inside, outside e altralan. Su altralan ho un dispositivo che vorrei raggiungere da inside, ma che non dev'essere raggiunto da outside.
La configurazione (le parti interessanti) è:
DispositivoEthernet ha su di se un server HTTP che è sicuramente funzionante, nel senso che provato da un pc su altralan funziona, ed è configurato con A.B.C.E come default gateway.
Da inside, però, non lo riesco a raggiungere, e nel log dell'ASA ho un errore:
portmap translation creation failed for tcp src inside:X.Y.Z.P/2461 dst altralan:DispositivoEthernet/80
Non capisco: non dovrebbe global (altralan) 2 interface crearmi un pat direttamente sull'interfaccia?
Inoltre, ho provato a mettere:
ma il risultato è il medesimo.
Cosa sbaglio/non ho capito?
Ciao e grazie
ho un ASA con tre interfacce: inside, outside e altralan. Su altralan ho un dispositivo che vorrei raggiungere da inside, ma che non dev'essere raggiunto da outside.
La configurazione (le parti interessanti) è:
Codice: Seleziona tutto
name A.B.C.D DispositivoEthernet
!
interface Vlan1
nameif inside
security-level 100
ip address X.Y.Z.T 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address IP-PUBBLICO NETMASK
!
interface Vlan3
nameif altralan
security-level 50
ip address A.B.C.E 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
switchport access vlan 3
!
[...]
access-list altralan_access_in extended permit ip host DispositivoEthernet X.Y.Z.0 255.255.255.0
access-list inside_access_list extended permit ip X.Y.Z.0 255.255.255.0 host DispositivoEthernet
global (outside) 1 interface
global (altralan) 2 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,altralan) DispositivoEthernet DispositivoEthernet netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group altralan_access_in in interface altralan
route outside 0.0.0.0 0.0.0.0 X.Y.Z.T 1
Da inside, però, non lo riesco a raggiungere, e nel log dell'ASA ho un errore:
portmap translation creation failed for tcp src inside:X.Y.Z.P/2461 dst altralan:DispositivoEthernet/80
Non capisco: non dovrebbe global (altralan) 2 interface crearmi un pat direttamente sull'interfaccia?
Inoltre, ho provato a mettere:
Codice: Seleziona tutto
global (altralan) 2 X.Y.Z.4-X.Y.Z.10 netmask 255.255.255.0
Cosa sbaglio/non ho capito?
Ciao e grazie
