Frage : Einstellung NAT auf Cisco ASA

Ich habe Internetanschluss zwei auf meinem Cisco ASA, ist int eth 0/0 und int eth 0/3.
the IP auf int eth 0/0 139.130.1.206 pingable und dieses IP natted zu unserem Bediener 192.168.80.7, das wir RDP zu diesem Bediener von internet.

we müssen RDP/NAT Zugang int eth 0/3 zur Verbindung beenden, die eine PPOE Verbindung ist, ich addierten neue Brandmauer und statische NAT-Richtlinie können, aber wir können ping das PPOE IP address oder den RDP nicht zu unserem Bediener von diesem IP address (202.7.215.118).

Can jemand Rat, welchen Befehl ich verfehlte:
aurecsyd/surec.com.au# SHrun
: Saved
:
ASA Version 8.2 (1)
!
hostname aurecsyd
domain-name surec.com .au
enable Kennwort szSEFtlV2mjLR77c encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
name 192.168.80.10 SBS_Server
name 192.168.80.7 Terminal_Server
name 192.168.12.0 AurecCanberra
name 192.168.13.0 AurecSingapore
name 192.168.14.0 AurecMelbourne
name 192.168.15.0 AurecHongKong
name 202.7.215.0 tpg
!
interface Ethernet0/0
nameif outside
Sicherheitniveau 0
IP- address139.130.1.206 255.255.255.0
!
interface Ethernet0/1
Geschwindigkeit 100
Duplexfull
nameif inside
Sicherheitniveau 100
IP- address192.168.80.254 255.255.255.0
!
interface Ethernet0/2
shutdown
nameif outside_2
Sicherheitniveau 0
kein IP address
!
interface Ethernet0/3
nameif outside_3
Sicherheitniveau 0
pppoe Klient vpdn Gruppe TPG
IP address pppoe
!
interface Management0/0
nameif management
Sicherheitniveau 100
IP- address10.10.10.10 255.255.255.128
Management-only
!
regex domainlist1 „\ .worldofwarcraft \ .com "
regex domianlist2“ \ Sommerzeit EDT .wow \ .com "
regex domainlist3 „\ .facebook \ .com "
ftp Modus passive
clock Timezone EST-10
clock wiederkehrendes letztes Sun 2. Oktober: 00 letztes Sun 3. März: 00
dns Bedienergruppe DefaultDNS
AurecCanberra 255.255.255.0 Netzgegenstand Netz DM_INLINE_NETWORK_1
eq 993
object-group Hafengegenstand ftp-data
eq Hafengegenstand ftp
eq Hafengegenstand smtp
eq Hafengegenstand https
eq Hafengegenstand www
eq Hafengegenstand eq 4125
Hafengegenstand eq 3389
Hafengegenstand tcp
Service DM_INLINE_TCP_1 der Zwischen-interface
same-security-traffic der Domain- Namesurec.com-.au
same-security-traffic Erlaubnis Intra-interface
object-group Erlaubnis
Netzgegenstand AurecSingapore 255.255.255.0
Netzgegenstand AurecMelbourne 255.255.255.0
Netzgegenstand AurecHongKong 255.255.255.0
object-group Protokoll TCPUDP
Protokollgegenstand udp
Protokollgegenstand tcp
object-group Service HTTP
Servicegegenstand TCP eq www
object-group Service DM_INLINE_TCP_2 tcp
Hafengegenstand eq 3389
Hafengegenstand eq 4125
Hafengegenstand eq 993
Hafengegenstand eq ftp
Hafengegenstand eq ftp-data
Hafengegenstand eq www
Hafengegenstand eq https
Hafengegenstand eq smtp
access-list verweigern inside_access_in verlängerter Erlaubnis Gegenstandgruppe TCPUDP Wirt SBS_Server jedes mögliches verlängerte eq Gebietsmaschinenbordbuch disable
access-list inside_access_in TCP irgendein jedes mögliches eq Gebietsmaschinenbordbuch disable
access-list inside_access_in verlängertes Erlaubnis-IP irgendein jeder möglicher log
access-list inside_access_in verlängerter Erlaubnis-TCP-Wirt SBS_Server irgendein eq smtp
access-list inside_access_in verlängertes Erlaubnis-ICMP jedes mögliches any
access-list inside_access_in verlängerte Erlaubnis-IP irgendein Gegenstandgruppe DM_INLINE_NETWORK_1 Maschinenbordbuch disable
access-list inside_access_in verlängertes Erlaubnis gre jedes mögliches any
access-list inside_access_out verlängerte Erlaubnis-IP irgendein any
access-list inside_access_out verlängertes Erlaubnis-ICMP jedes mögliches any
access-list outside_access_in verlängerte Erlaubnis-IP irgendein 139.130.1.0 255.255.255.0
access-list outside_access_in verlängerter Erlaubnis-TCP jeder möglicher Wirts-139.130.1.206 Gegenstandgruppe DM_INLINE_TCP_1 Maschinenbordbuch disable
access-list outside_access_in verlängerte Erlaubnis-TCP irgendeine jede mögliche eq 444
access-list outside_1_cryptomap verlängerte Erlaubnis IP 192.168.80.0 255.255.255.0 AurecCanberra 255.255.255.0
access-list inside_nat0_outbound verlängerte Erlaubnis-IP 192.168.80.0 255.255.255.0 AurecCanberra 255.255.255.0
access-list inside_nat0_outbound verlängertes Erlaubnis-IP 192.168.80.0 255.255.255.0 AurecSingapore 255.255.255.0
access-list inside_nat0_outbound verlängertes Erlaubnis-IP 192.168.80.0 255.255.255.0 AurecMelbourne 255.255.255.0
access-list inside_nat0_outbound verlängertes Erlaubnis-IP 192.168.80.0 255.255.255.0 192.168.80.160 255.255.255.224
access-list inside_nat0_outbound verlängertes Erlaubnis-IP 192.168.80.0 255.255.255.0 AurecHongKong 255.255.255.0
access-list BranchOffices_splitTunnelAcl Standarderlaubnis-192.168.80.0 255.255.255.0
access-list outside_3_access_in verlängertes Erlaubnis-IP jeder möglicher 139.130.1.0 255.255.255.0
access-list outside_3_access_in verlängerte Erlaubnis-TCP irgendein Wirts-202.7.215.118 Gegenstandgruppe DM_INLINE_TCP_2 Maschinenbordbuch disable
access-list outside_3_access_in verlängerter Erlaubnis-TCP alle mögliche irgendwelche eq 444
pager Linien 24
logging enable
logging asdm informational
mtu außerhalb 1500
mtu innerhalb 1500
mtu der lokalen Lache des Managements 1500
mtu outside_2 1500
mtu outside_3 1492
ip VPNPool 192.168.80.160 - 192.168.80.180 Schablonen-255.255.255.0
icmp unerreichbares Ratebegrenzung 1 Berstengröße 1
no asdm Geschichte enable
arp TIMEOUT14400
global (draußen) 101 interface
global (outside_2) 103 interface
global (outside_3) 102 interface
nat (nach innen) 0 Zugangliste inside_nat0_outbound
nat (nach innen) 101 0.0.0.0 0.0.0.0
static (nach innen, draußen) 255.255.255.255 netmask ftp TCP-Schnittstellenftp SBS_Server
static (nach innen, draußen) 255.255.255.255 netmask smtp TCP-Schnittstellensmtp SBS_Server
static (nach innen, draußen) TCP-Schnittstelle https SBS_Server https netmask 255.255.255.255
static (nach innen, draußen) TCP-Schnittstellen-WWW SBS_Server WWW netmask 255.255.255.255
static (nach innen, draußen) TCP-Schnittstelle 444 192.168.80.2 WWW netmask 255.255.255.255
static (nach innen, draußen) TCP-Schnittstelle 4125 SBS_Server 4125 netmask 255.255.255.255
static (nach innen, draußen) TCP-Schnittstelle 993 SBS_Server 993 netmask 255.255.255.255
static (nach innen, draußen) TCP-Schnittstelle 3389 Terminal_Server 3389 netmask 255.255.255.255
static (nach innen, draußen) TCP-Schnittstelle citrix-ica Terminal_Server citrix-ica netmask 255.255.255.255
static (nach innen, draußen) TCP-Schnittstelle 81 Terminal_Server 81 netmask 255.255.255.255
static (nach innen, draußen) TCP-Schnittstelle 2598 Terminal_Server 2598 netmask 255.255.255.255
static (nach innen, nach innen) 255.255.255.255 netmask smtp smtp Terminal_Server TCPs 192.168.14.50
static (nach innen, outside_3) TCP-Schnittstelle 3389 Terminal_Server 3389 netmask 255.255.255.255
access-group outside_access_in in der Schnittstelle outside
access-group inside_access_in Schnittstelle inside
access-group im inside_access_out heraus schließen inside
access-group outside_3_access_in in der Schnittstelle outside_3
route außerhalb des 0.0.0.0 0.0.0.0 139.130.1.205 1
timeout xlate 3:00 an: 00
timeout Anschl.-1:00: 00 halbgeschlossenes 0:10: 00 UDP-0:02: 00 ICMP-0:00: 02
timeout sunrpc 0:10: 00 0:05 h323: 00 1:00 h225: 00 mgcp 0:05: 00 Mgcpklaps 0:05: 00
timeout Schlückchen-0:30: 00 sip_media 0:02: 00 nippen-laden 0:03 ein: 00 nippen-trennen 0:02: 00
timeout Nippen-provisorischmittel 0:02: 00 uauth 0:05: 00 absolute
timeout TCP-Vollmachtwiederversammlung 0:01: 00
dynamic-access-policy-record DfltAccessPolicy
aaa Authentisierung ssh Konsole LOCAL
aaa Authentisierungstelnet-Konsole LOCAL
aaa Authentisierung ermöglichen Konsole LOCAL
aaa Ermächtigungsbefehl LOCAL
http Bediener enable
http 10.10.10.0 255.255.255.128 management
http 192.168.80.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
no SNMPbediener location
no SNMPbediener contact
snmp-server ermöglichen Fallen, SNMP-Authentisierungsverbindung linkdown coldstart
crypto, das ipsec ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec umwandeln-einstellte ESP-DES-SHA BesondersdES esp-sha-hmac
crypto ipsec umwandeln-einstellte ESP-DES-MD5 BesondersdES esp-md5-hmac
crypto ipsec umwandeln-einstellte ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec umwandeln-einstellte ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec umwandeln-einstellte ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec umwandeln-einstellte ESP-AES-128-SHA esp-aes umwandeln-einstellte, esp-sha-hmac
crypto ipsec ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec umwandeln-einstellte esp-aes ESP-AES-128-MD5 umwandeln-einstellte, esp-md5-hmac
crypto ipsec ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec Sicherheitverbindung Lebenszeit-Sekunden 28800
crypto ipsec umwandeln-einstellte Sicherheitverbindung Lebenszeitkilobytes 4608000
crypto Dynamischdiagramm SYSTEM_DEFAULT_CRYPTO_MAP 65535 umwandeln-stellte gesetzter pfs group1
crypto Dynamischdiagramm SYSTEM_DEFAULT_CRYPTO_MAP 65535 Satz ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto Diagramm outside_map1 65535 ipsec-isakmp ein, das dynamisches SYSTEM_DEFAULT_CRYPTO_MAP
crypto outside
crypto Schnittstelle des Diagramms outside_map1 isakmp pre-share
Authentisierung der outside
crypto isakmp Politik 5
sha
Durcheinander der Verschlüsselung 3des
pppoe
vpdn dialout Antrag der Gruppe TPG des TIMEOUT 0
vpdn des TIMEOUT 60
console outside
ssh TIMEOUT 15
ssh 0.0.0.0 0.0.0.0 inside
telnet Lebenszeit 86400
telnet 192.168.80.0 255.255.255.0 der Gruppe 2
Gruppe TPG localname [email protected]
vpdn
vpdn ********* Kennwort dfsdfsdaf@fsfsdfs username pap
vpdn Authentisierung der Gruppe TPG ppp Kennwort *********
dhcp-client Klientidentifikation Schnittstelle outside_3
dhcpd der [email protected] Adresse 10.10.10.11 - 10.10.10.126 management
ermöglichen!
threat-detection verschlüsselte grundlegendes-threat
threat-detection Statistiken port
threat-detection Statistiken protocol
threat-detection Statistiken Zugang-list
no Drohungabfragung Statistiken TCP-intercept
webvpn
group-policy BranchOffices internal
group-policy BranchOffices attributes
DNSbediener Wert-192.168.80.10
Vpn-Tunnelprotokoll IPSec
Aufspalten-Tunnelpolitik tunnelspecified
Aufspalten-Tunnel-Netzliste Wert BranchOffices_splitTunnelAcl
Zurückfallengebiet Wert-aurec.com .au
group-policy DfltGrpPolicy attributes
Vpn-Tunnelprotokoll IPSec l2tp-ipsec
ohne Gegenstimmen enable
username aurecsig Kennwort cTMjLs6t2jB0v8J7 BranchOffices
username Vpn-Gruppepolitik attributes
aurechk Privileg 0
username des Privileg 0
username aurecsig attributes
Vpn-Gruppepolitik BranchOffices
username aurechk Kennwortes WNF5K5bx.CLd5SSa verschlüsseltes aureccan BranchOffices
username Vpn-Gruppepolitik attributes
Privileg 0
username des Kennwortes vJSIcYRb43cBhk35 verschlüsseltes aureccan aurecmel BranchOffices
username admin Vpn-Gruppepolitik attributes
aurecmel Privileg 0
username des Kennwortes at.vbO43bPU/cXAz verschlüsseltes verschlüsseltes *
Vor-teilenschlüssel ipsec-attributes
Privileg 15
tunnel-group DefaultL2LGroup des Kennwortes clofk8EM73OlZoFM cert
tunnel-group BranchOffices Art Fern-access
tunnel-group BranchOffices allgemeines-attributes
Adressierenlache VPNPool
Zurückfallen-Gruppepolitik BranchOffices
tunnel-group BranchOffices ipsec-attributes
Vor-teilenschlüssel *
Gleich-Identifikation-validieren!
class-map inspection_default
Gleiches Zurückfallenkontrolle-traffic
class-map Art kontrollieren HTTP Gleich-alles bannedsites
Gleichantrag uri regex domainlist3
!
!
policy-map Art kontrollieren Art des DNS preset_dns_map
parameters
Mitteilunglänge Maximums 512
policy-map kontrollieren HTTP DomainList
parameters
Protokollverletzung Tätigkeit Tropfen-connection
Gleichantrag uri regex domainlist3
Tropfenanschluß log
Gleichantrag uri regex domainlist1
Tropfenanschluß log
Gleichantrag uri regex domianlist2
Tropfenanschluß log
policy-map global_policy
Kategorie, die inspection_default
DNS preset_dns_map
kontrollieren ftp
kontrollieren h323 h225
kontrollieren h323 ras
kontrollieren rsh
kontrollieren rtsp
kontrollieren esmtp
kontrollieren sqlnet
kontrollieren skinny
kontrollieren sunrpc
kontrollieren xdmcp
kontrollieren sip
kontrollieren netbios
kontrollieren tftp
kontrollieren icmp
kontrollieren! failover
privilege Befehl exec Modus des Niveaus 3 cmd logging
privilege Befehl exec Modus des Niveaus 3 cmd who
privilege Befehl exec Modus des Niveaus 3 cmd ping
privilege Befehl exec Modus des Niveaus 3 cmd perfmon
privilege Befehl exec Modus des
service-policy global_policy global
privilege cmd Niveaus 3 import
privilege Befehl exec Modus des Erscheinenniveaus 5 Befehl exec Modus des Erscheinenniveaus 5, der reload
privilege Befehl exec Modus des/>privilege Erscheinenniveaus 3 mode
privilege Befehl exec Modus des Erscheinenniveaus 3 firewall
privilege Befehl exec Modus des Erscheinenniveaus 3 asp
privilege Befehl exec Modus des Erscheinenniveaus 3 cpu
privilege Befehl exec Modus des Erscheinenniveaus 3 interface
privilege Befehl exec Modus des Erscheinenniveaus 3 clock
privilege Befehl exec Modus des Erscheinenniveaus 3 Erscheinenniveau 3 laufen lässt-config
privilege Zugang-list
privilege Befehl exec Modus logging
privilege Befehl exec Modus des Erscheinenniveaus 3 vlan
privilege Befehl exec Modus des Erscheinenniveaus 3 ip
privilege Befehl exec Modus des Erscheinenniveaus 3 des Erscheinenniveaus 3 des Befehls ipv6
privilege exec Modus des Erscheinenniveaus 3 failover
privilege Befehl exec Modus asdm
privilege Befehl exec Modus des Erscheinenniveaus 3 arp
privilege Befehl exec Modus des Erscheinenniveaus 3 route
privilege Befehl exec Modus des Erscheinenniveaus 3 ospf
privilege Befehl exec Modus des Erscheinenniveaus 3 Erscheinenniveaus 3 Befehl exec Modus des Erscheinenniveaus 3 des aaa--server
privilege aaa
privilege Befehl exec Modus eigrp
privilege Befehl exec Modus des Erscheinenniveaus 3 crypto
privilege Befehl exec Modus des Erscheinenniveaus 3 Erscheinenniveau 3 Modus exec Befehl vpn-sessiondb
privilege ssh
privilege Befehl exec Modus des Erscheinenniveaus 3 dhcpd
privilege Befehl exec Modus des Erscheinenniveaus 3 vpn
privilege Befehl exec Modus des Erscheinenniveaus 3 blocks
privilege Befehl exec Modus des Erscheinenniveaus 3 wccp
privilege Befehl exec Modus des Erscheinenniveaus 3 des Erscheinenniveaus 3 des Befehls bauen dynamischer-filter
privilege exec Modus des Erscheinenniveaus 3 webvpn
privilege Befehl exec Modus module
privilege Befehl exec Modus des Erscheinenniveaus 3 uauth
privilege Befehl exec Modus des Erscheinenniveaus 3 compression
privilege Befehl exec Modus des Erscheinenniveaus 3 Modus des Erscheinen-Niveaus 3 Befehl interface
privilege Modus des Erscheinen-Niveaus 3 zusammenbauen Befehl clock
privilege Modus des Erscheinen-Niveaus 3 zusammenbauen Befehl Zugang-list
privilege Modus des Erscheinen-Niveaus 3 zusammenbauen Befehl logging
privilege Erscheinenniveau 3 zusammen Modus bauen Befehl ip
privilege Modus des Erscheinen-Niveaus 3 zusammenbauen Befehl failover
privilege Modus des Erscheinen-Niveaus 5 zusammenbauen Befehl asdm
privilege Modus des Erscheinen-Niveaus 3 zusammenbauen Befehl arp
privilege Modus des Erscheinen-Niveaus 3 zusammenbauen Befehl route
privilege Modus des Erscheinen-Niveaus 3 zusammenbauen Erscheinenniveaus 3 des Befehl aaa--server
privilege Modus zusammenbauen Befehl aaa
privilege Modus des Erscheinen-Niveaus 3 zusammenbauen Befehl crypto
privilege Modus des Erscheinen-Niveaus 3 zusammenbauen Befehl ssh
privilege Modus des Erscheinen-Niveaus 3 zusammenbauen Befehl dhcpd
privilege Modus des Erscheinen-Niveaus 5 zusammenbauen Befehl privilege
privilege freies logging
privilege Befehl exec Modus des Niveaus 3 des Befehls DNS-hosts
privilege exec Modus des Niveaus 3 freies freies arp
privilege Befehl exec Modus des Niveaus 3 freies freies Niveau 3 Befehl exec Modus des Niveaus 3 aaa--server
privilege zusammen Modus exec Befehl crypto
privilege bauen dynamischer-filter
privilege Modus des Niveaus 3 cmd freier des Niveaus 3 Modus exec Befehl Befehl failover
privilege freien Modus des Niveaus 3 zusammenbauen Befehl logging
privilege freien Modus des Niveaus 3 zusammenbauen Befehl arp
privilege freien Modus des Niveaus 3 zusammenbauen Befehl crypto
privilege freien Modus des Niveaus 3 zusammenbauen hostname domain
Cryptochecksum Befehl aaa--server
prompt zusammen: 69b06f8d3ce8db846f7a72cc6a1770ff
:End

Antwort : Einstellung NAT auf Cisco ASA

Dieses ist erwartetes Verhalten.  Sie können auf die Internet-Teilnetze nicht durch 2 Schnittstellen auf einer ASA zurückgreifen.  Die ASA empfängt Ihren Klingelnantrag, aber es ist default route zum Internet ist heraus der andere Internet-Weg.  Dieses nicht kann durchmachen, weil der Verkehr versucht, eine andere Schnittstelle auszulassen, dann, das sie hereinkam.  Wenn Sie getrennt oder Abschaltung Ihr PrimärInternetanschluss, der DSL man haben konnten, ist es default route bevölkert automatisch im „Erscheinenweg“ Befehl, und dann in der Lage sein Sie ping diesen Anschluss.

Die einzige Weise können Sie diesen DSL-Anschluss für Verkehr benutzen, und fortfahren, die ganze Ihren normalen Internetverkehrgebrauch eth0/0 zu haben sollen in der Lage sein, einen statischen Weg in der ASA für die Quelle des Verkehrs einzustellen.  D.h.:

Weg outside_3 77.77.77.77 255.255.255.255 202.177.215.117

Dann sollten Quelle Ihr Verkehr von 77.77.77.77 und Sie in der Lage sein ping 202.177.215.118