MYOEY 10 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Hallo zusammen, Ich habe eine PIX515E mit 4 Interfaces(inside,outside,dmz1,dmz2) Ziel ist es, dass ein Subnet(aus inside) 10.10.1.0/24 einen FTP Server, der am dmz2 hängt, erreichen kann! Der ganze Traffic, der durch das interface dmz2 geht, sollte mit der IP Adresse des interfaces(dmz2) mit "PAT" übersetzt werden. Folgendes habe ich konfiguriert: global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 global (dmz2) 2 interface nat (dmz2) 2 0.0.0.0 0.0.0.0 Den FTP Server kann ich von der FW aus problemlos anpingen aber wenn ich von dem Subnet 10.10.1.0/24 aus versuche, einen ping oder ftp session aufzubauen, erreiche ich den nicht! wie kann man das am besten bzw. am elegantesten konfigurieren? Wie wäre's mit einem "static (inside,dmz2) .... " und wie soll dieser Eintrag ausschauen? Ich bedanke mich für jeden Tipp bzw. Idee schon im voraus! Grüße Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 das nat muss sich schon auf das inside interface beziehen....das muss dir aber auch schon die Konfiguration vom "internetzugang" sagen. Aber warum machst nicht eine NAT exemption für diesen Zugriff ? Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 18. Juni 2009 Autor Melden Teilen Geschrieben 18. Juni 2009 Danke für deine Antwort! wie sollte "eine NAT exemption" in diesem Fall aussehen? Ich habe mit den folgenden static command versucht: static (inside,DMZ2) interface 10.10.1.0 netmask 255.255.255.255 Ich will erreichen, dass der ganze Traffic aus dem Subnet "10.10.1.0" von der inside in die dmz2 mit der ip adresse des interfaces(dmz2) übersetzt wird aber es funktioniert leider nicht!!! wie sollte sonst der command aussehen? danke im voraus. Grüße Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 so kanns auch nicht klappen...was du brauchst ist eine dynamic NAT config: nat (inside) 1 10.10.1.0 255.255.255.0 global(dmz2) 1 interface aber wie gesagt, warum müssen die Adressen übersetzt werden ? Das bringt ausser zusätzlichen Aufwand für die ASA genau nix, das würde man nur machen wenn es nach der DMZ noch irgendwie weiter geht und dort das interne Netz nicht bekannt ist. Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 22. Juni 2009 Autor Melden Teilen Geschrieben 22. Juni 2009 Vielen Dank. es fnktioniert! du hast es richtig erkannt, der Traffic geht weiter zum nächsten Hop über dmz2, der dieses Subnet nicht bekannt ist :-) ausdem Grund ist das PAT mit dem dmz2 interface. Danke nochmal Grüße Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.