ASA - Probleme mit NAT

[hegl 10]

Wenn ich bei einem Standard-DSL-Router ein Portforwarding von der outside-IP auf eine interne Adresse mache, kann ich von intern die externe Adresse ansprechen, um auf den internen Server zu kommen. So hatte dies bis dato ein Kunde realisiert, um sowohl vom HomeOffice, als auch vom LAN auf diesen Server zuzugreifen. Das heisst, er gibt beim Programmaufruf die externe IP mit und kann so von extern und intern auf den Server zugreifen.

 

Jetzt wollte ich diesen Kunden über eine Kunden-ASA anbinden, falle aber auf die Nase, weil die ASA dies nicht zulässt. (Nach meiner Logik auch vollkommen richtig, denn warum sollte ich eine interne Adresse über eine externe mit NAT ansprechen?) Der Kunde meckert nun natürlich, dass er nun immer die IP ändern muss, jenachdem wo er sich gerade befindet.

 

Wie komme ich hier raus? DNS ist keine Alternative.

[Dukel 454]

Wieso ist DNS keine Alternative?

[hegl 10]

Grundsätzlich ja, aber der Kunde hat keine eigene Domain...

Lässt es sich nicht anders lösen?

[blackbox 10]

Hi,

 

nein das geht nicht. Einzige Lösung - das Ding in die DMZ - dann kann man das von aussen und innen passend NATen - das du die externe aber zur DMZ umleitest.

[Otaku19 33]

gibts denn überhaupt keinen Namen für den Server ? Auf iordendeinem DNS draussen den der Kunde anspricht ? Denn via dns-doctoring kann die ASA die entsprechenden A Records umschreiben

[hegl 10]

Jepp, dns-doctoring wäre die Lösung.

Ich denke jetzt doch, dass ich es so realisieren werde.

[Otaku19 33]

die DMZ Lösung würd wahrscheinlich auch flach fallen weil ich tippe mal drauf das kein secplus vorhanden ist ?