Questione : messa a punto NAT su Cisco asa

Ho collegamento a Internet due sul mio Cisco asa, il eth 0/0 di int ed il IP del eth 0/3.
the di int sul eth 0/0 139.130.1.206 di int è pingable e questo IP natted al nostro assistente 192.168.80.7 che possiamo RDP a questo assistente da internet.

we dobbiamo terminare l'accesso di RDP/NAT al collegamento del eth 0/3 di int che è un collegamento di PPOE, io abbiamo aggiunto la nuova parete refrattaria e la regola statica di NAT ma non possiamo fare un rumore metallico il IP address di PPOE o il RDP al nostro assistente da questo IP address (202.7.215.118).

Can qualcuno consiglio che ordine ho mancato: run
del
aurecsyd/surec.com.au#: Saved
: versione 8.2 (1)
del
ASA! tpg
del encrypted
names
name 192.168.80.10 SBS_Server
name 192.168.80.7 Terminal_Server
name 192.168.12.0 AurecCanberra
name 192.168.13.0 AurecSingapore
name 192.168.14.0 AurecMelbourne
name 192.168.15.0 AurecHongKong
name 202.7.215.0 del encrypted
passwd 2KFQnbNIdI.2KYOU di parola d'accesso szSEFtlV2mjLR77c del aurecsyd
domain-name surec.com .au
enable del
hostname!
di 139.130.1.206 255.255.255.0 di IP address del sicurezza-livello 0
del outside
del nameif del
interface Ethernet0/0
!
di 192.168.80.254 255.255.255.0 di IP address del sicurezza-livello 100
del inside
del nameif del full
di velocità 100
del
interface Ethernet0/1
! sicurezza-livello 0
del nameif outside_2
dello shutdown
del
interface Ethernet0/2
nessun
di IP address! pppoe
di IP address di TPG
del gruppo del vpdn del cliente del pppoe del sicurezza-livello 0
del nameif outside_3
del
interface Ethernet0/3
! amministrazione-only
del
di 10.10.10.10 255.255.255.128 di IP address del sicurezza-livello 100
del management
del nameif del
interface Management0/0
! “\„ \ estate EDT di EST 10
clock di timezone del passive
clock di modo
ftp .com \ di .wow "
regex domianlist2 “.com \ di .worldofwarcraft " del
regex domainlist1 \ .facebook \ .com " del
regex domainlist3 Sun il 2 ottobre ultimo di ricorso: 00 ultimo Sun 3 marzo: orificio-oggetto del www
del eq dell'orificio-oggetto del ftp-data
del eq dell'orificio-oggetto del ftp
del eq dell'orificio-oggetto del eq 993
dell'orificio-oggetto del eq 4125
dell'orificio-oggetto del eq 3389
dell'orificio-oggetto del tcp
di servizio DM_INLINE_TCP_2 del www
object-group del eq di tcp dell'servizio-oggetto di HTTP
di servizio del tcp
object-group dell'protocollo-oggetto del udp
dell'protocollo-oggetto di TCPUDP
di protocollo del
object-group di AurecHongKong 255.255.255.0 dell'rete-oggetto del
di AurecMelbourne 255.255.255.0 dell'rete-oggetto del
di AurecSingapore 255.255.255.0 dell'rete-oggetto del
di AurecCanberra 255.255.255.0 dell'rete-oggetto della rete DM_INLINE_NETWORK_1
del eq 993
object-group dell'orificio-oggetto del ftp-data
del eq dell'orificio-oggetto del ftp
del eq dell'orificio-oggetto dello smtp
del eq dell'orificio-oggetto del https
del eq dell'orificio-oggetto del www
del eq dell'orificio-oggetto del eq 4125
dell'orificio-oggetto del eq 3389
dell'orificio-oggetto del tcp
di servizio DM_INLINE_TCP_1 dell'inter-interface
same-security-traffic di surec.com .au
same-security-traffic di Domain Name di DefaultDNS
del assistente-gruppo di 00
dns del permesso intra-interface
object-group permesso l'ospite SBS_Server del oggetto-gruppo TCPUDP del permesso esteso inside_access_in dello smtp
access-list del eq dell'orificio-oggetto del https
del eq tutto il inside_access_in del disable
access-list del ceppo di dominio del eq esteso rifiuta a tcp qualunque tutto il IP del permesso esteso inside_access_in del disable
access-list del ceppo di dominio del eq qualunque tutto l'ospite SBS_Server di tcp del permesso esteso inside_access_in del log
access-list qualunque ICMP del permesso esteso inside_access_in dello smtp
access-list del eq tutto il IP del permesso esteso inside_access_in del any
access-list qualunque gre del permesso esteso inside_access_in del disable
access-list del ceppo del oggetto-gruppo DM_INLINE_NETWORK_1 tutto il IP del permesso esteso inside_access_out del any
access-list qualunque ICMP del permesso esteso inside_access_out del any
access-list tutto il IP del permesso esteso outside_access_in del any
access-list qualunque permesso esteso outside_access_in tcp del
access-list di 139.130.1.0 255.255.255.0 tutto il permesso esteso outside_access_in tcp del disable
access-list del ceppo del oggetto-gruppo DM_INLINE_TCP_1 di 139.130.1.206 ospite qualunque tutto il permesso esteso outside_1_cryptomap del eq 444
access-list il
access-list inside_nat0_outbound del IP 192.168.80.0 255.255.255.0 AurecCanberra 255.255.255.0 ha esteso il IP standard del permesso esteso outside_3_access_in del
access-list di 192.168.80.0 255.255.255.0 del permesso del
access-list BranchOffices_splitTunnelAcl del IP 192.168.80.0 255.255.255.0 AurecHongKong 255.255.255.0 del permesso esteso inside_nat0_outbound del
access-list del IP 192.168.80.0 255.255.255.0 192.168.80.160 255.255.255.224 del permesso esteso inside_nat0_outbound del
access-list del IP 192.168.80.0 255.255.255.0 AurecMelbourne 255.255.255.0 del permesso esteso inside_nat0_outbound del
access-list del IP 192.168.80.0 255.255.255.0 AurecSingapore 255.255.255.0 del permesso esteso inside_nat0_outbound del
access-list del IP 192.168.80.0 255.255.255.0 AurecCanberra 255.255.255.0 del permesso tutto il permesso esteso outside_3_access_in tcp del
access-list di 139.130.1.0 255.255.255.0 qualunque permesso esteso outside_3_access_in tcp del disable
access-list del ceppo del oggetto-gruppo DM_INLINE_TCP_2 di 202.7.215.118 ospite tutte le qualunque linee il informational
mtu del eq 444
pager del asdm del enable
logging di 24
logging fuori di 1500
mtu all'interno dello stagno locale dell'amministrazione 1500
mtu outside_2 1500
mtu outside_3 1492
ip di 1500
mtu VPNPool 192.168.80.160 - interface
global (outside_2) di prespegnimento 14400
global del enable
arp di storia del asdm di scoppiare-formato 1
no di tasso-limite 1 del
icmp di 255.255.255.0 della mascherina di 192.168.80.180 (all'esterno) 103 interface
global (outside_3) 102/>nat (all'interno) 0 accesso-liste inside_nat0_outbound
nat (all'interno) 101 interfaccia 444 192.168.80.2 del
static (all'interno, all'esterno) tcp di 255.255.255.255 del netmask di WWW SBS_Server WWW dell'interfaccia del
static (all'interno, all'esterno) tcp di 255.255.255.255 del netmask dei https di SBS_Server dei https dell'interfaccia del
static (all'interno, all'esterno) tcp di 255.255.255.255 del netmask dello smtp dello smtp SBS_Server dell'interfaccia del
static (all'interno, all'esterno) tcp di 255.255.255.255 del netmask del ftp del ftp SBS_Server dell'interfaccia del
static (all'interno, all'esterno) tcp di 0.0.0.0 0.0.0.0 outside_access_in del
access-group di 255.255.255.255 del netmask di Terminal_Server 3389 dell'interfaccia 3389 del
static (all'interno, outside_3) tcp di 255.255.255.255 del netmask dello smtp dello smtp Terminal_Server del
static (all'interno, all'interno) tcp 192.168.14.50 di 255.255.255.255 del netmask di Terminal_Server 2598 dell'interfaccia 2598 del
static (all'interno, all'esterno) tcp di 255.255.255.255 del netmask di Terminal_Server 81 dell'interfaccia 81 del
static (all'interno, all'esterno) tcp di 255.255.255.255 del netmask dell'interfaccia citrix-AIC Terminal_Server citrix-AIC del
static (all'interno, all'esterno) tcp di 255.255.255.255 del netmask di Terminal_Server 3389 dell'interfaccia 3389 del
static (all'interno, all'esterno) tcp di 255.255.255.255 del netmask di SBS_Server 993 dell'interfaccia 993 del
static (all'interno, all'esterno) tcp di 255.255.255.255 del netmask di SBS_Server 4125 dell'interfaccia 4125 del
static (all'interno, all'esterno) tcp di 255.255.255.255 del netmask di WWW nell'interfaccia il inside_access_in del outside
access-group nel inside_access_out del inside
access-group dell'interfaccia fuori connette il inside
access-group outside_3_access_in nell'interfaccia outside_3
route fuori del 3:00 del xlate di 0.0.0.0 0.0.0.0 139.130.1.205 1
timeout: 1:00 dei connett. di 00
timeout: 00 0:10 semichiusi: 00 0:02 del UDP: 00 0:00 del ICMP: 0:10 del sunrpc di 02
timeout: 00 0:05 h323: 00 1:00 h225: 00 0:05 del mgcp: 00 0:05 del mgcp-picchiettio: 0:30 della sorsata di 00
timeout: 00 0:02 di sip_media: 00 sorseggiare-invitano il 0:03: 00 sorseggiare-staccano il 0:02: 0:02 di sorseggiare-provvisorio-mezzi di 00
timeout: 00 0:05 del uauth: 00 0:01 di tcp-procura-rimontaggio del absolute
timeout: l'autenticazione di LOCAL
aaa della sezione comandi del telnet di autenticazione di LOCAL
aaa della sezione comandi dello ssh di autenticazione di 00
dynamic-access-policy-record DfltAccessPolicy
aaa permette al contact
snmp-server dell'SNMP-assistente del location
no dell'SNMP-assistente del outside
no del inside
http 0.0.0.0 0.0.0.0 del management
http 192.168.80.0 255.255.255.0 del enable
http 10.10.10.0 255.255.255.128 dell'assistente di LOCAL
http di ordine di autorizzazione di LOCAL
aaa della sezione comandi permette alle prese il ipsec del coldstart
crypto che del linkdown della presa di contatto di autenticazione dello SNMP trasformare-ha regolato il ipsec di ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto trasformare-ha regolato il ipsec del esp-sha-hmac
crypto del specialmente-DES di ESP-DES-SHA trasformare-ha regolato ESP-DES-MD5 il ipsec del specialmente-DES esp-md5-hmac
crypto trasformare-ha regolato il ipsec di ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto trasformare-ha regolato il ipsec di ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto trasformare-ha regolato il ipsec del esp-sha-hmac
crypto di ESP-AES-256-SHA esp-aes-256 trasformare-ha regolato i esp-aes di ESP-AES-128-SHA il ipsec del esp-sha-hmac
crypto trasformare-ha regolato il ipsec del esp-sha-hmac
crypto di ESP-AES-192-SHA esp-aes-192 trasformare-ha regolato i esp-aes ESP-AES-128-MD5 il ipsec di esp-md5-hmac
crypto trasformare-ha regolato il ipsec di secondi 28800
crypto di corso della vita di sicurezza-associazione del ipsec del esp-sha-hmac
crypto di ESP-3DES-SHA esp-3des l'insieme stabilito del dinamico-programma SYSTEM_DEFAULT_CRYPTO_MAP 65535 dei pfs group1
crypto del dinamico-programma SYSTEM_DEFAULT_CRYPTO_MAP 65535 di kilobyti 4608000
crypto di corso della vita di sicurezza-associazione trasformare-ha regolato il ipsec-isakmp che del programma outside_map1 65535 di ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto il isakmp dinamico del outside
crypto dell'interfaccia del programma outside_map1 di SYSTEM_DEFAULT_CRYPTO_MAP
crypto permette all'indirizzo 10.10.10.11 dell'interfaccia outside_3
dhcpd di cliente-identificazione del
dhcp-client del ********* di parola d'accesso del username [email protected] del
vpdn del ********* di parola d'accesso dei dfsdfsdaf@fsfsdfs del username del pap
vpdn di autenticazione del gruppo TPG PPA del localname [email protected]
vpdn del gruppo TPG del pppoe
vpdn del dialout di richiesta del gruppo TPG di prespegnimento 0
vpdn di prespegnimento 60
console del outside
ssh di prespegnimento 15
ssh 0.0.0.0 0.0.0.0 del inside
telnet di corso della vita 86400
telnet 192.168.80.0 255.255.255.0 del gruppo 2
dello sha
del hash di crittografia 3des
del pre-share
di autenticazione di politica 5
del isakmp del outside
crypto - il management
di 10.10.10.126! la parola d'accesso di base-threat
username di IPSec l2tp-ipsec
di vpn-traforo-protocollo del attributes
di aurec.com .au
group-policy DfltGrpPolicy di valore di stabilizzare-dominio di BranchOffices_splitTunnelAcl
di valore della spaccare-traforo-rete-lista del tunnelspecified
di spaccare-traforo-politica di IPSec
di vpn-traforo-protocollo del
di 192.168.80.10 di valore dell'dns-assistente del attributes
del internal
group-policy BranchOffices di tcp-intercept
webvpn
group-policy BranchOffices di statistiche di minaccia-rilevazione di accesso-list
no di statistiche del protocol
threat-detection di statistiche del port
threat-detection di statistiche del
threat-detection/>threat-detection all'unanimità ha cifrato il *
di pre-ripartire-chiave del ipsec-attributes
di privilegio cifrato clofk8EM73OlZoFM 15
tunnel-group DefaultL2LGroup di parola d'accesso di BranchOffices
username admin di vpn-gruppo-politica del attributes
del aurecmel di privilegio cifrato at.vbO43bPU/cXAz 0
username di parola d'accesso del aurecmel di BranchOffices
username di vpn-gruppo-politica del attributes
di privilegio cifrato vJSIcYRb43cBhk35 0
username di parola d'accesso di BranchOffices
username di vpn-gruppo-politica del attributes
del aurechk di privilegio cifrato WNF5K5bx.CLd5SSa 0
username di parola d'accesso del aurechk di BranchOffices
username di vpn-gruppo-politica del attributes
del aurecsig di privilegio 0
username pari-identificazione-convalidare il tipo il *
del cert
tunnel-group BranchOffices di pre-ripartire-chiave del ipsec-attributes
di BranchOffices
tunnel-group BranchOffices di stabilizzare-gruppo-politica di VPNPool
dello richiamare-stagno di/>tunnel-group BranchOffices/>! il tipo di stabilizzare-controllo-traffic
class-map del fiammifero del inspection_default
del
class-map controlla il HTTP fiammifero-tutto regex domainlist3
di uri di richiesta del fiammifero del bannedsites
!
! il tipo del
policy-map controlla il tipo di massimo 512
policy-map di messaggio-lunghezza del parameters
del preset_dns_map
di dns controlla il codice categoria che del global_policy
del log
policy-map del goccia-collegamento del regex domianlist2
di uri di richiesta del fiammifero del log
del goccia-collegamento del regex domainlist1
di uri di richiesta del fiammifero del log
del goccia-collegamento del regex domainlist3
di uri di richiesta del fiammifero di goccia-connection
di azione di protocollo-violazione del parameters
del HTTP DomainList
il inspection_default
controlla il preset_dns_map
di dns controlla il ftp
controlla h323 h225
controlla h323 il ras
controlla il rsh
controlla il rtsp
controlla il esmtp
controlla lo sqlnet
controlla lo skinny
controlla il sunrpc
controlla il xdmcp
controlla il sip
controlla il netbios
controlla il tftp
controlla il icmp
! ordine del exec di modo del Livello 5 di esposizione del import
privilege di ordine del exec di modo del Livello 5 di esposizione del failover
privilege di ordine del exec di modo del Livello 3 del cmd del logging
privilege di ordine del exec di modo del Livello 3 del cmd del who
privilege di ordine del exec di modo del Livello 3 del cmd del ping
privilege di ordine del exec di modo del Livello 3 del cmd del perfmon
privilege di ordine del exec di modo del Livello 3 del cmd del global
privilege di global_policy del
service-policy che fa funzionare-config
privilege di ordine del exec di modo del Livello 3 di esposizione del interface
privilege di ordine del exec di modo del Livello 3 di esposizione del cpu
privilege di ordine del exec di modo del Livello 3 di esposizione del asp
privilege di ordine del exec di modo del Livello 3 di esposizione del firewall
privilege di ordine del exec di modo del Livello 3 di esposizione del mode
privilege di ordine del exec di modo del Livello 3 di esposizione del reload
privilege di ordine del exec di modo del Livello 3 di esposizione di/>privilege Livello 3 di esposizione del crypto
privilege di ordine del exec di modo del Livello 3 di esposizione del eigrp
privilege di ordine del exec di modo del Livello 3 di esposizione del aaa
privilege di ordine del exec di modo del Livello 3 di esposizione del aaa-server
privilege di ordine del exec di modo del Livello 3 di esposizione del ospf
privilege di ordine del exec di modo del Livello 3 di esposizione del route
privilege di ordine del exec di modo del Livello 3 di esposizione del arp
privilege di ordine del exec di modo del Livello 3 di esposizione del asdm
privilege di ordine del exec di modo del Livello 3 di esposizione del failover
privilege di ordine del exec di modo del Livello 3 di esposizione di ordine ipv6
privilege del exec di modo del Livello 3 di esposizione del ip
privilege di ordine del exec di modo del Livello 3 di esposizione del vlan
privilege di ordine del exec di modo del Livello 3 di esposizione del logging
privilege di ordine del exec di modo del Livello 3 di esposizione di accesso-list
privilege di ordine del exec di modo del Livello 3 di esposizione di dns-hosts
privilege di ordine del exec di modo il modo dinamico-filter
privilege di ordine del exec di modo del Livello 3 di esposizione del uauth
privilege di ordine del exec di modo del Livello 3 di esposizione del module
privilege di ordine del exec di modo del Livello 3 di esposizione del webvpn
privilege di ordine del exec di modo del Livello 3 di esposizione di ordine/>privilege del exec di modo del Livello 3 di esposizione del wccp
privilege di ordine del exec di modo del Livello 3 di esposizione del blocks
privilege di ordine del exec di modo del Livello 3 di esposizione del vpn
privilege di ordine del exec di modo del Livello 3 di esposizione del dhcpd
privilege di ordine del exec di modo del Livello 3 di esposizione dello ssh
privilege di ordine del exec di modo del Livello 3 di esposizione del vpn-sessiondb
privilege di ordine del exec di modo configura il modo del Livello 3 di esposizione del interface
privilege di ordine configura il modo del Livello 3 di esposizione del clock
privilege di ordine configura il modo del Livello 3 di esposizione di accesso-list
privilege di ordine configura il Livello 3 di esposizione del logging
privilege di ordine il modo configura il modo del Livello 3 di esposizione del ip
privilege di ordine configura il modo del Livello 5 di esposizione del failover
privilege di ordine configura il modo del Livello 3 di esposizione del asdm
privilege di ordine configura il modo del Livello 3 di esposizione del arp
privilege di ordine configura il modo del Livello 3 di esposizione del route
privilege di ordine configura il modo del Livello 3 di esposizione del aaa-server
privilege di ordine configura il modo del Livello 3 di esposizione del aaa
privilege di ordine configura il modo del Livello 3 di esposizione del crypto
privilege di ordine configura il modo del Livello 3 di esposizione dello ssh
privilege di ordine configura il modo del Livello 5 di esposizione del dhcpd
privilege di ordine configura il Livello libero libero libero libero libero 3 del aaa-server
privilege di ordine del exec di modo del Livello 3 del arp
privilege di ordine del exec di modo del Livello 3 del logging
privilege di ordine del exec di modo del Livello 3 di dns-hosts
privilege di ordine del exec di modo del Livello 3 del privilege
privilege di ordine il modo dinamico-filter
privilege di ordine del exec di modo di modo di ordine libero/>privilege del exec configura il modo libero del Livello 3 del failover
privilege di ordine configura il modo libero del Livello 3 del logging
privilege di ordine configura il modo libero del Livello 3 del arp
privilege di ordine configura il modo libero del Livello 3 del crypto
privilege di ordine configura il domain
Cryptochecksum del hostname del aaa-server
prompt di ordine: 69b06f8d3ce8db846f7a72cc6a1770ff
:End class= del

Risposta : messa a punto NAT su Cisco asa

Ciò è comportamento previsto.  Non potete accedere alle sottoreti del Internet attraverso 2 interfacce su un'asa.  L'asa sta ricevendo la vostra richiesta di rumore metallico, ma è default route al Internet è fuori l'altro percorso del Internet.  Ciò non riesce a andare attraverso perché il traffico sta provando ad omettere un'interfaccia differente allora che è entrato.  Se voi disconnected o l'arresto il vostro collegamento a Internet primario, il DSL uno potrebbe avere è default route automaticamente popola “nell'ordine dell'itinerario di esposizione„ ed allora potreste fare un rumore metallico quel collegamento.

L'unico senso potete usare questo collegamento di DSL per traffico e continuate ad avere tutto il vostro uso normale eth0/0 del traffico in Internet dovete potere regolare un itinerario statico nell'asa per la fonte del traffico.  Cioè:

itinerario outside_3 77.77.77.77 255.255.255.255 202.177.215.117

Allora la fonte il vostro traffico da 77.77.77.77 e voi dovrebbero potere fare un rumore metallico 202.177.215.118