136423
Dec 12, 2018
1330
6
0
NATürlicher Blödsinn
Liebe Community,
ich bin gerade dabei mich mit dem Thema NAT etwas mehr zu beschäftigen und die Regeln zu verstehen, die an unserer ASA eingestellt wurden. Ich bin mir relativ sicher, dass es einige NAT-Regeln gibt, die keinen Sinn ergeben und wahrscheinlich gestrichen werden können.
Wir haben folgende, relativ einfache Netzwerkarchitektur:
A) ISP <=> VDSL-MODEM <=> ASA-Firewall (PPPoE)
B) ASA-FIREWALL (192.168.1.1) <=> Fritzbox (192.168.7.0/24 für DECT Telefonie)
C) ASA-FIREWALL (192.168.1.1) <=> Layer-3-Switch (192.168.1.254; für interne Netzwerke)
D) Layer-3-Switch (192.168.1.254) <=> Interne Netzwerk (10.0.0.0/16)
Unsere ASA-Firewall stellt außerdem noch ein VPN-Endpunkt zur Verfügung. VPN-Clients bekommen IPs über 192.168.1.100-.120
Das Netzwerk befindet sich derzeit noch im Aufbau, weswegen ich etwas "herumprobieren" kann. Trotzdem gibt es zwei essentielle Funktionen, die unter allen Umständen dauerhaft bestehen bleiben müssen:
1. Unsere DECT-Telefone müssen vollständig funktionell bleiben
2. Der VPN-Client (über den konfiguriere ich das Netzwerk) muss Zugriff auf die Management Oberflächen der ASA und des Switches behalten (192.168.1.1 und 192.168.1.254)
Die konfigurierten NAT-Regeln sind im Anhang aufgeführt. Als kurze Erklärung:
A) Interface: internal => Interface der ASA an dem Layer-3-Switch angeschlossen ist
B) Interface: outside => Interface der ASA mit Verbindung zum VDSL-Modem (Upstream)
C) Interface: fritzbox => Interface der ASA mit Verbindung zur fritzbox (192.168.7.0/24)
D) internal_networks => interne 10.0.0.0/16 Netzwerke, die am Layer-3-Switch angeschlossen sind
E) fritzbox_host => IP der FritzBox (192.168.7.6)
F) VPN => 192.168.1.10/24
G) real-port => Destination (0-65535) / Source (7078 - 7901)
H) mapped-port => Destination (0-65535) / Source (6078 - 6097)
Mit besten Grüßen,
niLuxx
ich bin gerade dabei mich mit dem Thema NAT etwas mehr zu beschäftigen und die Regeln zu verstehen, die an unserer ASA eingestellt wurden. Ich bin mir relativ sicher, dass es einige NAT-Regeln gibt, die keinen Sinn ergeben und wahrscheinlich gestrichen werden können.
Wir haben folgende, relativ einfache Netzwerkarchitektur:
A) ISP <=> VDSL-MODEM <=> ASA-Firewall (PPPoE)
B) ASA-FIREWALL (192.168.1.1) <=> Fritzbox (192.168.7.0/24 für DECT Telefonie)
C) ASA-FIREWALL (192.168.1.1) <=> Layer-3-Switch (192.168.1.254; für interne Netzwerke)
D) Layer-3-Switch (192.168.1.254) <=> Interne Netzwerk (10.0.0.0/16)
Unsere ASA-Firewall stellt außerdem noch ein VPN-Endpunkt zur Verfügung. VPN-Clients bekommen IPs über 192.168.1.100-.120
Das Netzwerk befindet sich derzeit noch im Aufbau, weswegen ich etwas "herumprobieren" kann. Trotzdem gibt es zwei essentielle Funktionen, die unter allen Umständen dauerhaft bestehen bleiben müssen:
1. Unsere DECT-Telefone müssen vollständig funktionell bleiben
2. Der VPN-Client (über den konfiguriere ich das Netzwerk) muss Zugriff auf die Management Oberflächen der ASA und des Switches behalten (192.168.1.1 und 192.168.1.254)
Die konfigurierten NAT-Regeln sind im Anhang aufgeführt. Als kurze Erklärung:
A) Interface: internal => Interface der ASA an dem Layer-3-Switch angeschlossen ist
B) Interface: outside => Interface der ASA mit Verbindung zum VDSL-Modem (Upstream)
C) Interface: fritzbox => Interface der ASA mit Verbindung zur fritzbox (192.168.7.0/24)
D) internal_networks => interne 10.0.0.0/16 Netzwerke, die am Layer-3-Switch angeschlossen sind
E) fritzbox_host => IP der FritzBox (192.168.7.6)
F) VPN => 192.168.1.10/24
G) real-port => Destination (0-65535) / Source (7078 - 7901)
H) mapped-port => Destination (0-65535) / Source (6078 - 6097)
Mit besten Grüßen,
niLuxx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 395365
Url: https://administrator.de/contentid/395365
Printed on: April 19, 2024 at 18:04 o'clock
6 Comments
Latest comment
Moin,
where's the fish? (wo ist die Frage)
Gruss
where's the fish? (wo ist die Frage)
Gruss
Die Frage ist berechtigt. Hauptsächlich die Frage ob es doppelte Einträge gibt. So etwas wie:
Regel 1) Mappe kompletten Traffic von Source A nach Destination B
Regel 2) Mappe ein paar Ports von Source A nach Destination B
Dann wäre Regel 2 ja überflüssig, bzw. Regel 1 sollte deaktiviert werden, falls die Freigabe der einzelnen Ports genügen
Weiterhin habe ich derzeit ein Problem beim Zugriff in eines der internen Netzwerke (192.168.3.0/24) durch meinen VPN Client (192.168.1.103). Das Routing in andere interne Netze (10.0.0.0/16) ist erfolgreich. Ich erhalte folgende Fehlermeldung und befürchte das hat etwas mit einem fehlenden NAT-Eintrag zu tun.
Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src outside:192.168.1.103(LOCAL\XXXXXX) dst internal:192.168.3.2 (type 8, code 0) denied due to NAT reverse path failure
(beim Ping vom VPN-Client zum 192.168.3.0/24) Netz
Regel 1) Mappe kompletten Traffic von Source A nach Destination B
Regel 2) Mappe ein paar Ports von Source A nach Destination B
Dann wäre Regel 2 ja überflüssig, bzw. Regel 1 sollte deaktiviert werden, falls die Freigabe der einzelnen Ports genügen
Weiterhin habe ich derzeit ein Problem beim Zugriff in eines der internen Netzwerke (192.168.3.0/24) durch meinen VPN Client (192.168.1.103). Das Routing in andere interne Netze (10.0.0.0/16) ist erfolgreich. Ich erhalte folgende Fehlermeldung und befürchte das hat etwas mit einem fehlenden NAT-Eintrag zu tun.
Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src outside:192.168.1.103(LOCAL\XXXXXX) dst internal:192.168.3.2 (type 8, code 0) denied due to NAT reverse path failure
(beim Ping vom VPN-Client zum 192.168.3.0/24) Netz
Hauptsächlich die Frage ob es doppelte Einträge gibt.
Ohne ein (anonymisiertes) show run ist diese Frage ja nicht zielführend zu beantworten ! 
Nur damit wir alle hier das gleiche Bild vor Augen haben...
So sollte das bei dir dann aussehen, richtig ?
Jetzt muss ich aber schon einmal fragen mit welchem Programm du das erstellt hast.
Ja, genauso ist es richtig!
Ja, genauso ist es richtig!
Visio (Winblows), Omnigraffle (Mac) und Dia (Linux). Da kommt bei allen das gleiche raus 
Mit ein paar Cisco Logos garniert:
https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
Mit ein paar Cisco Logos garniert:
https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
Moin,
Als Alternative zu den kostenpflichtigen Schwergewichtern kann ich dir draw.io sehr empfehlen.
Open Source, schlank und sehr einfach zu bedienen. Basiert auf JavaScript -> Cross-Platform Software
Viele Grüße
Exception
Visio (Winblows), Omnigraffle (Mac)
Als Alternative zu den kostenpflichtigen Schwergewichtern kann ich dir draw.io sehr empfehlen.
Open Source, schlank und sehr einfach zu bedienen. Basiert auf JavaScript -> Cross-Platform Software
Viele Grüße
Exception
