ASA 5505 multiple externe IPs

[Stefan W 14]

Hi Leute,

 

ich habe folgendes Problem:

 

Von meinem Provider habe ich ein /28er Netz erhalten und brauche davon 5 IPs wovon 3 externe IPs zu 3 internen (DMZ) IPs sollen (Lync Edge Server falls euch das was hilft) und bei 2 externe IPs wird ein Portforwarding benötigt.

ca so:

60.60.60.1 10.1.1.1 - Ports: 443 + ein paar weitere

60.60.60.2 10.1.1.2 - Ports: 443 + ein paar weitere

60.60.60.3 10.1.1.3 - Ports: 443 + ein paar weitere

60.60.60.4 192.168.0.1 - Ports: 443 + ein paar weitere

60.60.60.5 192.168.0.2 - Ports: 5060 + ein paar weitere

 

Ich wollte dies mit einer ASA 5505 realisieren, doch sobald ich auf zwei Interfaces eine externe IP im gleichen Subnet erstellen will, erhalte ich einen Fehler, der besagt, dass ich keine 2 IPs erstellen darf, bei denen sich die Subnetze überlappen

 

Wie realisiere ich am besten die oben genannte Aufgabe?

danke für die Hilfe.

lg

Stefan

[schtebo 10]

ich glaube das hängt mit der genutzen version von der cisco asa 5505.

[blackbox 10]

Hallo,

 

seid wann richtet man auf der 5505 die IP´s auf Interface ein - einfach auf das VLAN. Und warum wilst du auf ein Interface 2 IP´s bauen? Das VLAN bekommt eine und der Rest ist Virtuell.... alles was da oben steht - geht - einzige was sein kann - das wenn du eine DMZ machst und ne einfache Lic - du nur von einem anderen VLAN drauf zugreifen darfst.

[Stefan W 14]

Hi,

mit der "höheren" Version wird DUAL ISP supported. dh. 2 externe IPs (unterschiedliches Subnet, wenn ich das richtig verstehe)

 

Ich brauche jedoch 5 externe IPs im gleichen Subnet - geht das damit dann? (bist du dir sicher?)

[Stefan W 14]

Hi Blackbox.

Ich muss mich entschuldigen - ich bin in Cisco nicht sehr versiert.

 

Wie mach ich das dann?

Ich gebe der ASA am Interface selbst die 60.60.60.8 (bzw. eine im gleichen externen Subnet) und arbeite dann mit statischen Routen von 60.60.60.1 (extern,dmz) 10.1.1.1? Bitte hilf mir auf die Sprünge :)

 

danke

[blackbox 10]

Hallo,

 

schau dir mal das hier an - Ersetze die Namen der Interface einfach durch die beiden VLAN1 (meist Inside) und VLAN2 (Outside).

 

In dem Sample wird ein Mailserver von aussen nach innen durchgereicht. Nicht über den Begriff PIX wundern - die Firmware passt zur ASA (in diesem Fall).

 

Zur Version 5505 - ab der höheren erlaubt die ein "uneingeschränkte DMZ" - das hat die Standard 5505 nicht. Ist ne Besonderheit der 5505.

[Stefan W 14]

Hallo Blackbox,

danke für den Link

Ich geh das gleich mal durch.

 

die "höhere" Version mit der 500€ Lizenz sind wir gerne bereit anzuschaffen, wenn es nötig ist.

 

Ziel wäre so eine Konfiguration (IPs und hostnames wurden leicht abgeändert)

http://i40.tinypic.com/2q87on6.jpg

 

ist das OHNE Upgrade möglich?

danke

lg

Stefan

[blackbox 10]

Hi,

 

ich sehe da mal kein Problem drin. Die Frage ist - muss die DMZ 172.99. - mit der int 172.100 reden? Und gehen die Daten dann über die Firewal (was ja sinn macht) - dann brauchst du die größere LIZ.

[Stefan W 14]

Hi,

Ja die müssen kommunizieren.

Alternativ kann ich sie auch über eine weitere Firewall schleifen, wenn mir dass die 500€ Lizenz erspart.

Ich melde mich sobald ich genau weiß wie was wann wo :)

danke

[blackbox 10]

das kannst du machen - dann musst du nur auf den Client und Co ja zusatz routen eintragen - ist ja irgendwie nicht schön

[Stefan W 14]

Das ganze hat sich nun erledigt

für meine Anforderungen musste die "große" Lizenz angeschafft werden, der Rest konnte mit Access und NAT Regeln eingestellt werden.

Ich danke für eure Hilfe, ist somit -closed-

lg

Stefan