Cisco ASA NAT

@jlevistk · Регистрация: 05.05.2011

Студворк — интернет-сервис помощи студентам

Привет всем! У меня проблема, не происходит NAT серверов из inside в outside.
История:
Имеются две сети Network_A 192.168.7.0/16 и Network_B 192.168.0.0/24.
Необходимо, чтобы пользователи из Network_B могли работать на серверах расположенных в сети Network_A.
Т.к. в Network_A сделана маска /16 и сеть 192.168.0.0 в ней уже есть наполненная хостами, было принято решение сделать NAT. Хосты из Network_B натятся в Network_A в подсеть 192.168.7.0. Cisco ASA имеется с обоих сторон маску /24 по понятным причинам.

Все замечательно, все работает.. НО, мне захотелось сделать так, чтобы не приходилось на ПК из Network_B прописывать маршрут по умолчанию и я попробовал транслировать сервера из Network_A в Network_B. Вот тут у меня загвоздка.
По access-list видно, что пакетики проходят, но их там совсем чуть чуть. Пинги на транслируемые сервера не идут.

Прикладываю конфиг. Посмотрите пожалуйста:

Кликните здесь для просмотра всего текста

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
: Saved
: Written by enable_15 at 17:39:59.498 AZST Fri Jan 11 2013
!
ASA Version 9.1(1) 
!
hostname ciscoasa
enable password xzpass encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd xzpass encrypted
names
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.7.10 255.255.255.0 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 192.168.0.7 255.255.255.0 
!
boot system disk0:/asa911-k8.bin
ftp mode passive
clock timezone AZST 4
clock summer-time AZDT recurring last Sun Mar 1:00 last Sun Oct 1:00
object network -=Network_B=-
 subnet 192.168.0.0 255.255.255.0
object network =Server_1=
 host 192.168.7.6
object network =Server_2=
 host 192.168.7.5
object network =MAPPED_LAN_FROM_NETWORK_B=
 range 192.168.7.100 192.168.7.130
access-list test_for_all extended permit ip any any log 
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-711.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network -=Network_B=-
 nat (outside,inside) dynamic =MAPPED_LAN_FROM_NETWORK_B= dns
object network =Server_1=
 nat (inside,outside) static 192.168.0.8 dns
object network =Server_2=
 nat (inside,outside) static 192.168.0.9 dns
access-group test_for_all in interface outside
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication http console LOCAL 
aaa authentication ssh console LOCAL 
aaa authorization command LOCAL 
http server enable
http 192.168.7.150 255.255.255.255 inside
http 192.168.7.170 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh 192.168.7.150 255.255.255.255 inside
ssh 192.168.7.170 255.255.255.255 inside
ssh timeout 5
ssh version 2
console timeout 0
 
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username admin password xzpass encrypted privilege 15
!
!
prompt hostname context 
no call-home reporting anonymous
Cryptochecksum:54ebe2862fgafh875d378d61aaac70d2eb
: end

@jlevistk · 13.01.2013, 18:27 **[ТС]**

это осуществимо?)

@jlevistk · 08.04.2013, 22:26 **[ТС]**

Ап?!) я всетаки готов предложения выслушать )

Jabbson · 09.04.2013, 02:24

а что такое сеть 192.168.7.0/16 ?

@jlevistk · 09.04.2013, 08:03 **[ТС]**

Имелось ввиду, что хосты с ip 192.168.7.* имеют маску 16.

Jabbson · 09.04.2013, 10:53

То есть у вас сеть 192.168.0.0/16 и 192.168.0.0/24?

Советую обратиться к "классике":

«Весь мир насилья мы разрушим
До основанья, а затем
Мы наш, мы новый мир построим, —
С блекджеком и дамами...»

@jlevistk · 09.04.2013, 15:55 **[ТС]**

Да это понятно... а если всетаки заниматься извращениями? Оно то в принципе и сейчас работает.. я уже и забыл про него почти) просто почему то НАТ не отрабатывает в обратку если делать)

@Shikarito · 24.12.2013, 12:01

Доброго времени суток.
У меня примерно та же проблема, что и у Вас, но в ещё более ранней стадии.
Нужно соединить сеть LAN_A (10.0.0.0/24) с сетью LAN_B (10.44.112.0/27)
Сеть LAN_B Не может выдать достаточное количество адресов и поэтому было принято решение пустить сеть через ASA 5505 version 9.0(1) и через NAT добавить необходимое количество.
Очень надеюсь на Вашу помощь.

ciscoasa(config)# sh run

: Saved
:
ASA Version 9.0(1)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
switchport access vlan 2
!
interface Ethernet0/6
switchport access vlan 2
!
interface Ethernet0/7
switchport access vlan 2
!
interface Vlan1
nameif outside
security-level 100
ip address 10.44.112.104 255.255.255.224
!
interface Vlan2
nameif inside
security-level 0
ip address 10.0.0.1 255.255.255.0
!
ftp mode passive
dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
object network LAN
subnet 10.0.0.0 255.255.255.0
pager lines 24
logging asdm informational
mtu outside 1500

@kroniel · 24.12.2013, 13:06

Shikarito, я не вижу здесь проблему. Заводишь 2 линка с разных сетей и даже маршрут не надо пробрасывать. Ну а если они удаленны то просто пробросишь маршрут на внешние айпишники.

@Shikarito · 24.12.2013, 13:56

Не могли бы Вы более подробно описать ход действий? ... желательно реальными командами на языке Cisc'и.
Увы, но перед Вами "чайник"

@kroniel · 24.12.2013, 14:20

Shikarito, ну тогда нужны уточнения:
1) Сети можно подключить в один роутер?
2) Если нет то есть ли у них внешние IP адреса?

Для первого варианта нужно просто подключить сети в роутер и прописать на портах айпи адреса сети. Например для сети 10.0.0.0/24 адрес 10.0.0.1, а для 10.44.112.0/27 адрес 10.44.112.1 или любой свободный из этих подсетей.

Для второго варианта нужно сделать VPN канал между роутерами и на роутерах прописать маршруты.
Или просто прописать маршрут.
Например 1 сеть IP 1.1.1.1 а 2 сеть IP 2.2.2.2
пишем в первом роутере: ip route 10.0.0.0 255.255.255.0 2.2.2.2
во втором: ip route 10.44.112.0 255.255.255.244 1.1.1.1

Что то типа этого.

@Shikarito · 25.12.2013, 11:08

Вобщем сделал следующее:
Комп(1) с [динамическим ip] воткнул в порт 0/1 Асы, а Комп(2) с ip [10.44.112.97 255.255.255.224] в порт 0/0.
Порт 0/0 присвоил Vlan2 (outside)с ip [10.44.112.100 255.255.255.224], а порт 0/1 присвоил Vlan1 (inside) с ip [10.0.0.1 255.255.255.0]
Прописал dhcpd address 10.0.0.10-10.0.0.41 inside. Комп (1) получил ip [10.0.0.10 255.255.255.0 со шлюзом 10.0.0.1]
Как я понял компы должны пинговаться, но этого не происходит. Чего не хватает? Please Help

@jlevistk · 25.12.2013, 11:10 **[ТС]**

Покажите пожалуйста конфиг ASA(заключите в code и уберите под спойлер).

@Shikarito · 25.12.2013, 11:42

Конфиг сливаться не хочет. Скинул в тхт файл во вложиниях

@jlevistk · 25.12.2013, 12:07 **[ТС]**

В конфиге нет ни слова про nat. И он по ходу не полный.... Дайте мне конфиг полностью, можете его через Асдм вытащить. Как вам удобнее.

@Shikarito · 25.12.2013, 13:40

Сообщение от jlevistk

В конфиге нет ни слова про nat

Разумеется нет ни слова, т.к. по словам kroniel, я понял, что NAT в моём случае не нужен и сбросив конфиг в Default прописал лишь это:

Сообщение от Shikarito

Комп(1) с [динамическим ip] воткнул в порт 0/1 Асы, а Комп(2) с ip [10.44.112.97 255.255.255.224] в порт 0/0.
Порт 0/0 присвоил Vlan2 (outside)с ip [10.44.112.100 255.255.255.224], а порт 0/1 присвоил Vlan1 (inside) с ip [10.0.0.1 255.255.255.0]
Прописал dhcpd address 10.0.0.10-10.0.0.41 inside. Комп (1) получил ip [10.0.0.10 255.255.255.0 со шлюзом 10.0.0.1]

Ну ещё и route inside 0.0.0.0 0.0.0.0 10.44.112.97 1
Если Вы считаете, что NAT всё же необходим, то помогите мне его настроить, пожалуйста.
Я пока что буду пытаться конфиг вытаскивать.

@jlevistk · 25.12.2013, 14:17 **[ТС]**

Да, вам не нужен нат. Вам нужно прописать

C
1
same–security-traffic permit inter-interface

и заработает...)

Добавлено через 1 минуту
Это разрешит ходить трафику между интерфейсами с одинаковым security level.

@Shikarito · 25.12.2013, 16:39

Выражаю свои бесконечную благодарность и уважение! Всех Вам благ! )

@jlevistk · 25.12.2013, 16:42 **[ТС]**

Не по теме:

рад помочь :)

@Shikarito · 27.12.2013, 11:03

Вынужден снова Вас потревожить... всё заработало, если и в порт 0/0 подключить комп1 с ip [10.44.112.97 255.255.255.224], а в порт 0/1 комп2 с динамическим ip. Asa успешно выдала компу2 ip [10.0.0.10 255.255.255.0] по dhcp и благодаря последней команде

Сообщение от jlevistk

same–security-traffic permit inter-interface

компы запинговались, но если в порт 0/0 подключить интернетовский провод, то интернета на компе2 не появляется. IP адрес [10.44.112.97] и есть ip выдающий интернет. Я думал, что должно заработать, но увы.

Добавлено через 39 минут
И при этом даже сама ASA не пингует адрес 10.44.112.97

Новые блоги и статьи Все статьи Все блоги /
Как я обхитрил таблицу Word Alexander-7 21.03.2026 Когда мигает курсор у внешнего края таблицы, и нам надо перейти на новую строку, а при нажатии Enter создается новый ряд таблицы с ячейками, то мы вместо нервных нажатий Энтеров мы пишем любые буквы. . .	Krabik - рыболовный бот для WoW 3.3.5a AmbA 21.03.2026 без регистрации и смс. Это не торговля, приложение не содержит рекламы. Выполняет свою непосредственную задачу - автоматизацию рыбалки в WoW - и ничего более. Однако если админы будут против -. . .	Программный отбор значений справочника Maks 21.03.2026 Установка программного отбора значений справочника "Сотрудники" из модуля формы документа. В качестве фильтра для отбора служит предопределенное значение перечислений. Процедура. . .	Переходник USB-CAN-GPIO Eddy_Em 20.03.2026 Достаточно давно на работе возникла необходимость в переходнике CAN-USB с гальваноразвязкой, оный и был разработан. Однако, все меня терзала совесть, что аж 48-ногий МК используется так тупо: просто. . .
Оттенки серого Argus19 18.03.2026 Оттенки серого Нашёл в интернете 3 прекрасных модуля: Модуль класса открытия диалога открытия/ сохранения файла на Win32 API; Модуль класса быстрого перекодирования цветного изображения в оттенки. . .	SDL3 для Desktop (MinGW): Рисуем цветные прямоугольники с помощью рисовальщика SDL3 на Си и C++ 8Observer8 17.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-rectangles-sdl3-c. zip finish-rectangles-sdl3-cpp. zip	Символические и жёсткие ссылки в Linux. algri14 15.03.2026 Существует два типа ссылок — символические и жёсткие. Ссылка в Linux — это запись в каталоге, которая может указывать либо на inode «файла-ИСТОЧНИКА», тогда это будет «жёсткая ссылка» (hard link),. . .	[Owen Logic] Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ФедосеевПавел 14.03.2026 Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ВВЕДЕНИЕ Выполняя задание на управление насосной группой заполнения резервуара,. . .

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	13.01.2013, 18:27 [ТС]
	это осуществимо?) 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	08.04.2013, 22:26 [ТС]
	Ап?!) я всетаки готов предложения выслушать ) 0

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	09.04.2013, 02:24
	а что такое сеть 192.168.7.0/16 ? 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	09.04.2013, 08:03 [ТС]
	Имелось ввиду, что хосты с ip 192.168.7.* имеют маску 16. 0

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	09.04.2013, 10:53
	То есть у вас сеть 192.168.0.0/16 и 192.168.0.0/24? Советую обратиться к "классике": «Весь мир насилья мы разрушим До основанья, а затем Мы наш, мы новый мир построим, — С блекджеком и дамами...» 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	09.04.2013, 15:55 [ТС]
	Да это понятно... а если всетаки заниматься извращениями? Оно то в принципе и сейчас работает.. я уже и забыл про него почти) просто почему то НАТ не отрабатывает в обратку если делать) 0

@Shikarito 0 / 0 / 0 Регистрация: 24.12.2013 Сообщений: 27
	24.12.2013, 12:01
	Доброго времени суток. У меня примерно та же проблема, что и у Вас, но в ещё более ранней стадии. Нужно соединить сеть LAN_A (10.0.0.0/24) с сетью LAN_B (10.44.112.0/27) Сеть LAN_B Не может выдать достаточное количество адресов и поэтому было принято решение пустить сеть через ASA 5505 version 9.0(1) и через NAT добавить необходимое количество. Очень надеюсь на Вашу помощь. ciscoasa(config)# sh run : Saved : ASA Version 9.0(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 ! interface Ethernet0/1 switchport access vlan 2 ! interface Ethernet0/2 switchport access vlan 2 ! interface Ethernet0/3 switchport access vlan 2 ! interface Ethernet0/4 switchport access vlan 2 ! interface Ethernet0/5 switchport access vlan 2 ! interface Ethernet0/6 switchport access vlan 2 ! interface Ethernet0/7 switchport access vlan 2 ! interface Vlan1 nameif outside security-level 100 ip address 10.44.112.104 255.255.255.224 ! interface Vlan2 nameif inside security-level 0 ip address 10.0.0.1 255.255.255.0 ! ftp mode passive dns domain-lookup outside dns server-group DefaultDNS name-server 8.8.8.8 object network LAN subnet 10.0.0.0 255.255.255.0 pager lines 24 logging asdm informational mtu outside 1500 0

@kroniel 225 / 113 / 18 Регистрация: 27.09.2012 Сообщений: 575
	24.12.2013, 13:06
	Shikarito, я не вижу здесь проблему. Заводишь 2 линка с разных сетей и даже маршрут не надо пробрасывать. Ну а если они удаленны то просто пробросишь маршрут на внешние айпишники. 1

@Shikarito 0 / 0 / 0 Регистрация: 24.12.2013 Сообщений: 27
	24.12.2013, 13:56
	Не могли бы Вы более подробно описать ход действий? ... желательно реальными командами на языке Cisc'и. Увы, но перед Вами "чайник" 0

@kroniel 225 / 113 / 18 Регистрация: 27.09.2012 Сообщений: 575
	24.12.2013, 14:20
	Shikarito, ну тогда нужны уточнения: 1) Сети можно подключить в один роутер? 2) Если нет то есть ли у них внешние IP адреса? Для первого варианта нужно просто подключить сети в роутер и прописать на портах айпи адреса сети. Например для сети 10.0.0.0/24 адрес 10.0.0.1, а для 10.44.112.0/27 адрес 10.44.112.1 или любой свободный из этих подсетей. Для второго варианта нужно сделать VPN канал между роутерами и на роутерах прописать маршруты. Или просто прописать маршрут. Например 1 сеть IP 1.1.1.1 а 2 сеть IP 2.2.2.2 пишем в первом роутере: ip route 10.0.0.0 255.255.255.0 2.2.2.2 во втором: ip route 10.44.112.0 255.255.255.244 1.1.1.1 Что то типа этого. 1

@Shikarito 0 / 0 / 0 Регистрация: 24.12.2013 Сообщений: 27
	25.12.2013, 11:08
	Вобщем сделал следующее: Комп(1) с [динамическим ip] воткнул в порт 0/1 Асы, а Комп(2) с ip [10.44.112.97 255.255.255.224] в порт 0/0. Порт 0/0 присвоил Vlan2 (outside)с ip [10.44.112.100 255.255.255.224], а порт 0/1 присвоил Vlan1 (inside) с ip [10.0.0.1 255.255.255.0] Прописал dhcpd address 10.0.0.10-10.0.0.41 inside. Комп (1) получил ip [10.0.0.10 255.255.255.0 со шлюзом 10.0.0.1] Как я понял компы должны пинговаться, но этого не происходит. Чего не хватает? Please Help 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	25.12.2013, 11:10 [ТС]
	Покажите пожалуйста конфиг ASA(заключите в code и уберите под спойлер). 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	25.12.2013, 12:07 [ТС]
	В конфиге нет ни слова про nat. И он по ходу не полный.... Дайте мне конфиг полностью, можете его через Асдм вытащить. Как вам удобнее. 1

@Shikarito 0 / 0 / 0 Регистрация: 24.12.2013 Сообщений: 27
	25.12.2013, 16:39
	Выражаю свои бесконечную благодарность и уважение! Всех Вам благ! ) 0

@jlevistk
	25.12.2013, 16:42 [ТС]
	Не по теме: рад помочь :) 1