hegl 10 Geschrieben 17. September 2008 Melden Teilen Geschrieben 17. September 2008 Die ASA bringt mich mal wieder zum Verzweifeln; eine bisher einwandfrei funktionierende Regel macht plötzlich bei einem Rechner Probleme. Folgende Situation: ich habe vom internen Netz in eine DMZ access-list outbound permit ip object-group LAN object-group DMZ access-list 100 permit tcp host ABC host XYZ eq 22 ... global (dmz) 10 a.b.c.d nat (inside) 10 access-list outbound konfiguriert. Nun erhalte ich bei einem host aus dem LAN einen portmap translation error (siehe og. Syslog ID). Alle anderen host aus dem LAN erhalten diesen Fehler nicht; die in der entsprechenden ACL gelisteten host greifen auch auf die destination zu - nur eben einer nicht, da er bereits beim NAT bzw. hier PAT hängen bleibt. Selbst PC´s, die keine Berechtigung in die DMZ haben, aber durch die ACL outbound PAT machen, haben diesen Fehler nicht. Wo setze ich nun an? Merkwürdigerweise funktioniert der Zugriff für den einen PC dann, wenn ich explizit ein static für den internen host konfiguriere - aber das kanns ja nicht sein. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 17. September 2008 Melden Teilen Geschrieben 17. September 2008 Hast du etwas mehr von deiner Config - ist so nicht zu erklären. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 18. September 2008 Autor Melden Teilen Geschrieben 18. September 2008 Hast du etwas mehr von deiner Config - ist so nicht zu erklären. Habs zwar hinbekommen, aber warum und weshalb weiß ich immer noch nicht :-( Was ich getan habe, ist die NAT-Befehle zu löschen und wieder neu einzubinden. Habe mich dazu an einen vorherigen Fehler erinnert http://www.mcseboard.de/cisco-forum-allgemein-38/asa-nat-probleme-138793.html und habe ganz einfach das NAT "reinitialisiert" und schon läufts wieder - sehr merkwürdig :confused::confused::confused: Zitieren Link zu diesem Kommentar
Akos_beginner 10 Geschrieben 11. Dezember 2008 Melden Teilen Geschrieben 11. Dezember 2008 Das ist eine typischerweise NAT Probleme das heißt 'overlapping nat'. Ich habe bei Cisco TAC arbeitet und das war immer der Grund mit NAT Fehler. Ich denke, dass deine NAT Regeln sind falsch konfiguriert worden. Ich brauche die Ausgabe der folgenden Befehle/Kommnandos: show run nat show run global show run static In Cisco ASA Firewall gibt es viele NAT Typen und NAT Regeln mit viele Bedingung: z.B.: Es gibt 5 NAT TYPEN bei dem ASA Firewall: -Dynamischer NAT -PAT -Statisch NAT -Statisch PAT -NAT Ausgrenzung /Bypassing NAT When NAT Control is Enabled/ Aber man muss die Reihenfolge der Verarbeitung von NAT Typen verstehen (Eng): 1. NAT exemption (nat 0 access-list) - In order, until the first match. Identity NAT is not included in this category; it is included in the regular static NAT or regular NAT category. We do not recommend overlapping addresses in NAT exemption statements because unexpected results can occur. 2. Static NAT and Static PAT (regular and policy) (static) - In order, until the first match. Static identity NAT is included in this category. 3. Policy dynamic NAT (nat access-list) - In order, until the first match. Overlapping addresses are allowed. 4. Regular dynamic NAT (nat) - Best match. Regular identity NAT is included in this category. The order of the NAT commands does not matter; the NAT statement that best matches the real address is used. Cisco ASA NAT link (code 7.2): Cisco Security Appliance Command Line Configuration Guide, Version 7.2 - Applying NAT [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 15. Dezember 2008 Autor Melden Teilen Geschrieben 15. Dezember 2008 sorry, war falsch. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.