Frage : Aus Netz heraus an inneren Wirt using Öffentlichkeit außerhalb IP anschließen

Dieses ist nicht genau eine hairpinning Frage wie es klingt.  Ich habe eine laufende Mikroprogrammaufstellungversion 8.2 Cisco-ASA 5510 (1) mit 2 Schnittstellen nannte „Innere“ und „Gast“, plus eine äußere Schnittstelle, die zum Internet über Fräser unseres ISPs geht.  Was ich nicht scheinen kann, herauszufinden, ist, wie ich einem Wirt im „Gast“ Netz erlauben kann, an einen Wirt im „Innere“ Netz using das anzuschließen allgemeines IP address nat'd „des Innere“ Netzwirtes.  

zum Beispiel, lässt mich sagen wünschen Wirt 192.168.4.4 in der Lage sein, an 192.168.3.123 using das IP 1.1.1.4 anzuschließen. das

I gedacht, diese zwei Linien addierend, würde arbeiten:
static (nach innen, Gast) 1.1.1.4 192.168.3.123 netmask 255.255.255.255
access-list guest_in Linie 1 verlängertes Wirts-1.1.1.4 eq www

The ASA Erlaubnis-TCP-192.168.4.0 255.255.255.0 scheint, den Verkehr sogar mit jenen Linien fallenzulassen, die der Konfiguration hinzugefügt werden.  Was fehle ich?

Thanks

1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13: 14: 15: 16: 17: 18: 19: 20: 21: 22: 23: 24: 25: 26: 27: 28: 29: 30: 31: 32: 33: 34: 35: 6: 37: 38: 39: 40: 41: 42: 43: 44: 45: 46:

interface Ethernet0/0 nameif nach innen Sicherheitniveau 100 IP address 192.168.3.1 255.255.255.0 Schnittstelle Ethernet0/1 nameif draußen Sicherheitniveau 0 IP address 1.1.1.2 255.255.255.0 Schnittstelle Ethernet0/2 nameif Gast Sicherheitniveau 50 IP address 192.168.4.1 255.255.255.0 Zugangliste inside_in verlängertes Erlaubnis-IP, das irgendwie irgendein ist Zugangliste outside_in verlängerte Erlaubnis-TCP jedes mögliches Wirts-1.1.1.4 eq WWW Zugangliste guest_in verlängerte Wirts-192.168.3.123 eq WWW Erlaubnis-TCP-192.168.4.0 255.255.255.0 das verlängerte Zugangliste guest_in verweigern IP 192.168.4.0 255.255.255.0 192.168.3.0 255.255.255.0 Zugangliste guest_in verlängerte Erlaubnis-IP 192.168.4.0 255.255.255.0 irgendwie Zugangliste no_nat_inside verlängerte Erlaubnis-IP 192.168.3.0 255.255.255.0 192.168.4.0 255.255.255.0 Zugangliste no_nat_guest ausgedehntes Erlaubnis-IP 192.168.4.0 255.255.255.0 192.168.3.0 255.255.255.0 Nationalsteuerung globales (draußen) 1 1.1.1.3 globale (nach innen) 1 Schnittstelle nationales (nach innen) 0 Zugangliste no_nat_inside nationales (nach innen) 1 192.168.3.0 255.255.255.0 nationale (Gast) 0 Zugangliste no_nat_guest nationales (Gast) 1 192.168.4.0 255.255.255.0 statisches (nach innen, draußen) 1.1.1.4 192.168.3.123 netmask 255.255.255.255 statisches (nach innen, nach innen) 1.1.1.4 192.168.3.123 netmask 255.255.255.255 Gleich-Sicherheitverkehr Erlaubnis Intra-schnittstelle Zuganggruppe inside_in in der Schnittstelle nach innen Zuganggruppe outside_in in der Schnittstelle draußen Zuganggruppe guest_in im Schnittstellengast Weg äußeres 0.0.0.0 0.0.0.0 1.1.1.1 1

Antwort : Aus Netz heraus an inneren Wirt using Öffentlichkeit außerhalb IP anschließen

Was kommt auf Ihre Überwachung auf?

Wenn Ihr nicht using das ASDM ich den oben beginnen würde, würde es viel einfacher bilden

Ich weiß in meiner ASA, die ich innen eintragen würde

Static (nach innen, Gast) 192.168.3.? 192.168.4.4 netmask 255.255.255.255-TCP 0 0 UDP 0
Aber das ist nicht empfehlen Ihr Gehen hereinkommen zu wünschen, vornehmen offensichtlich Ihre Änderungen das genaue.

Ich denke, dass Ihr Problem nicht soviel der NAT ist, da es zur ASA verwirrend ist. Auf eine Weise möchten Ihr Erklären der ASA nicht zu NAT der Adressen (IE das Nr. national) aber Sie 1.1.1.4 verwenden, um das Innere (aber auf das ist nicht auf dem gleichen Teilnetze, also wird es nicht Arbeit), ganz zu schweigen von der ASA zurückzugreifen versteht dieses Teilnetz als seiend ein Teilnetz für die Außenseite. Ich denke, dass die ASA nicht was weiß, mit ihm zu tun. Versuchen, eine Adresse innerhalb des Teilnetzes zu verwenden, um auf die innere Schnittstelle (IE 192.168.3.1) zurückzugreifen