Pytanie : ustawianie NAT na Cisco ASA

I mieć dwa połączenie z internetem na mój Cisco ASA, int eth 0/0 i int eth 0/3.
the IP na int eth 0/0 139.130.1.206 być pingable i ten IP natted nasz serwer 192.168.80.7 my móc RDP ten serwer od internet.

we potrzebować RDP/NAT dostęp int eth 0/3 połączenie che być PPOE połączenie, i dodawać nowy zapora i ładunek elektrostatyczny NAT reguła ale my móc ping the PPOE adres IP lub RDP nasz serwer od ten adres IP (202.7.215.118).

Can i rada jaki rozkaz i brakować:
aurecsyd/surec.com.au#/> run
: Saved
:
ASA Wersja 8.2 (1)
!
hostname aurecsyd
domain-name surec.com .au
enable hasło szSEFtlV2mjLR77c encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
name 192.168.80.10 SBS_Server
name 192.168.80.7 Terminal_Server
name 192.168.12.0 AurecCanberra
name 192.168.13.0 AurecSingapore
name 192.168.14.0 AurecMelbourne
name 192.168.15.0 AurecHongKong
name 202.7.215.0 tpg
!
interface Ethernet0/0
nameif outside
ochrona-zrównywać 0
adres IP 139.130.1.206 255.255.255.0
!
interface Ethernet0/1
prędkość 100
/> full
nameif inside
ochrona-zrównywać 100
adres IP 192.168.80.254 255.255.255.0
!
interface Ethernet0/2
shutdown
nameif outside_2
ochrona-zrównywać 0
żadny ip address
!
interface Ethernet0/3
nameif outside_3
ochrona-zrównywać 0
pppoe klient vpdn grupa TPG
adres IP pppoe
!
interface Management0/0
nameif management
ochrona-zrównywać 100
adres IP 10.10.10.10 255.255.255.128
zarządzanie-only
!
regex domainlist1 "\ .worldofwarcraft \ .com "
regex domianlist2" \ .wow \ .com "
regex domainlist3 "\ .facebook \ .com "
ftp tryb passive
clock timezone EST 10
clock summer-time EDT powracający ostatni Słońce Oct 2:00 kopyto szewskie Słońce Mar 3:00
dns serwer-grupować DefaultDNS
domain-name surec.com .au
same-security-traffic pozwolenie inter-interface
same-security-traffic pozwolenie inter-interface
object-group usługowy DM_INLINE_TCP_1 tcp
przesyłać-protestować eq 3389
przesyłać-protestować eq 4125
przesyłać-protestować eq www
przesyłać-protestować eq https
przesyłać-protestować eq smtp
przesyłać-protestować eq ftp
przesyłać-protestować eq ftp-data
przesyłać-protestować eq 993
object-group sieć DM_INLINE_NETWORK_1
sieć-protestować AurecCanberra 255.255.255.0
sieć-protestować AurecSingapore 255.255.255.0
sieć-protestować AurecMelbourne 255.255.255.0
sieć-protestować AurecHongKong 255.255.255.0
object-group protokół TCPUDP
protokół-protestować udp
protokół-protestować tcp
object-group usługowy HTTP
usługiwać-protestować tcp eq www
object-group usługowy DM_INLINE_TCP_2 tcp
przesyłać-protestować eq 3389
przesyłać-protestować eq 4125
przesyłać-protestować eq 993
przesyłać-protestować eq ftp
przesyłać-protestować eq ftp-data
przesyłać-protestować eq www
przesyłać-protestować eq https
przesyłać-protestować eq smtp
access-list inside_access_in przedłużyć pozwolenie protestować-grupować TCPUDP gospodarz SBS_Server jakaś eq domena bela disable
access-list inside_access_in przedłużyć zaprzeczać tcp jakaś jakaś eq domena bela disable
access-list inside_access_in przedłużyć pozwolenie ip jakaś jakaś log
access-list inside_access_in przedłużyć pozwolenie tcp gospodarz SBS_Server jakaś eq smtp
access-list inside_access_in przedłużyć pozwolenie icmp jakaś any
access-list inside_access_in przedłużyć pozwolenie ip jakaś protestować-grupować DM_INLINE_NETWORK_1 bela disable
access-list inside_access_in przedłużyć pozwolenie gre jakaś any
access-list inside_access_out przedłużyć pozwolenie ip jakaś any
access-list inside_access_out przedłużyć pozwolenie icmp jakaś any
access-list outside_access_in przedłużyć pozwolenie ip jakaś 139.130.1.0 255.255.255.0
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz 139.130.1.206 protestować-grupować DM_INLINE_TCP_1 bela disable
access-list outside_access_in przedłużyć pozwolenie tcp jakaś jakaś eq 444
access-list outside_1_cryptomap przedłużyć pozwolenie ip 192.168.80.0 255.255.255.0 AurecCanberra 255.255.255.0
access-list inside_nat0_outbound przedłużyć pozwolenie ip 192.168.80.0 255.255.255.0 AurecCanberra 255.255.255.0
access-list inside_nat0_outbound przedłużyć pozwolenie ip 192.168.80.0 255.255.255.0 AurecSingapore 255.255.255.0
access-list inside_nat0_outbound przedłużyć pozwolenie ip 192.168.80.0 255.255.255.0 AurecMelbourne 255.255.255.0
access-list inside_nat0_outbound przedłużyć pozwolenie ip 192.168.80.0 255.255.255.0 192.168.80.160 255.255.255.224
access-list inside_nat0_outbound przedłużyć pozwolenie ip 192.168.80.0 255.255.255.0 AurecHongKong 255.255.255.0
access-list BranchOffices_splitTunnelAcl standardowy pozwolenie 192.168.80.0 255.255.255.0
access-list outside_3_access_in przedłużyć pozwolenie ip jakaś 139.130.1.0 255.255.255.0
access-list outside_3_access_in przedłużyć pozwolenie tcp jakaś gospodarz 202.7.215.118 protestować-grupować DM_INLINE_TCP_2 bela disable
access-list outside_3_access_in przedłużyć pozwolenie tcp jakaś jakaś eq 444
pager linia 24
logging enable
logging asdm informational
mtu na zewnątrz 1500
mtu wśrodku 1500
mtu zarządzanie 1500
mtu outside_2 1500
mtu outside_3 1492
ip lokalny basen VPNPool 192.168.80.160 - 192.168.80.180 maskowy 255.255.255.0
icmp maskowy oszacowywać-ograniczać (1) pękać-sortować 1
no asdm historia enable
arp timeout 14400
global ((1)) 101 interface
global (outside_2) 103 interface
global (outside_3) 102 interface
nat (102) (0) przystępować-spisywać inside_nat0_outbound
nat ((0)) 101 0.0.0.0 0.0.0.0
static ((0), (0)) tcp interfejs ftp SBS_Server ftp netmask 255.255.255.255
static ((0), (0)) tcp interfejs smtp SBS_Server smtp netmask 255.255.255.255
static (255.255.255.255, 255.255.255.255) tcp interfejs https SBS_Server https netmask 255.255.255.255
static (255.255.255.255, 255.255.255.255) tcp interfejs www SBS_Server www netmask 255.255.255.255
static (255.255.255.255, 255.255.255.255) tcp interfejs 444 192.168.80.2 www netmask 255.255.255.255
static (444, 444) tcp interfejs 4125 SBS_Server 4125 netmask 255.255.255.255
static (4125, 4125) tcp interfejs 993 SBS_Server 993 netmask 255.255.255.255
static (993, 993) tcp interfejs 3389 Terminal_Server 3389 netmask 255.255.255.255
static (3389, 3389) tcp interfejs citrix-ica Terminal_Server citrix-ica netmask 255.255.255.255
static (3389, 3389) tcp interfejs 81 Terminal_Server 81 netmask 255.255.255.255
static (3:00, 3:00) tcp interfejs 2598 Terminal_Server 2598 netmask 255.255.255.255
static (2598, 2598) tcp 192.168.14.50 smtp Terminal_Server smtp netmask 255.255.255.255
static (2598, outside_3) tcp interfejs 3389 Terminal_Server 3389 netmask 255.255.255.255
access-group outside_access_in w interfejs outside
access-group inside_access_in w interfejs inside
access-group inside_access_out 3389 interface inside
access-group outside_3_access_in w interfejs outside_3
route na zewnątrz 0.0.0.0 0.0.0.0 139.130.1.205 1
timeout xlate 3:00: 00
timeout conn 1:00: 00 półzwarty 0:10: 00 udp 0:02: 00 icmp 0:00: 02
timeout sunrpc 0:10: 00 h323 0:05: 00 h225 1:00: 00 mgcp 0:05: 00 mgcp-klepać 0:05: 00
timeout łyczek 0:30: 00 sip_media 0:02: 00 sączyć-zapraszać 0:03: 00 sączyć-odłączać 0:02: 00
timeout sączyć-prowizoryczny-środek 0:02: 00 uauth 0:05: 00 absolute
timeout tcp-prokurent-reassembly 0:01: 00
dynamic-access-policy-record DfltAccessPolicy
aaa uwierzytelnienie ssh konsola LOCAL
aaa uwierzytelnienie telnet konsola LOCAL
aaa uwierzytelnienie umożliwiać konsola LOCAL
aaa autoryzacja rozkaz LOCAL
http serwer enable
http 10.10.10.0 255.255.255.128 management
http 192.168.80.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
no snmp-serwer location
no snmp-serwer contact
snmp-server umożliwiać oklepiec snmp uwierzytelnienie linkup linkdown coldstart
crypto ipsec przekształcać-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec przekształcać-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec przekształcać-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec przekształcać-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec przekształcać-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec przekształcać-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec przekształcać-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec przekształcać-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec przekształcać-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec przekształcać-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ochrona-skojarzenie życie sekunda 28800
crypto ipsec ochrona-skojarzenie życie kilobajt 4608000
crypto dynamiczny-kartografować SYSTEM_DEFAULT_CRYPTO_MAP 65535 ustalony pfs group1
crypto dynamiczny-kartografować SYSTEM_DEFAULT_CRYPTO_MAP 65535 ustalony przekształcać-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto mapa outside_map1 65535 ipsec-isakmp dynamiczny SYSTEM_DEFAULT_CRYPTO_MAP
crypto mapa outside_map1 interfejs outside
crypto isakmp umożliwiać outside
crypto isakmp polisa 5
uwierzytelnienie pre-share
utajnianie 3des
hash sha
grupowy 2
życie 86400
telnet 192.168.80.0 255.255.255.0 inside
telnet timeout 15
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
console timeout 0
vpdn grupowy TPG prośba dialout pppoe
vpdn grupowy TPG localname [email protected]
vpdn grupowy TPG ppp uwierzytelnienie pap
vpdn username dfsdfsdaf@fsfsdfs hasło *********
vpdn username [email protected] hasło *********
dhcp-client klient-id interfejs outside_3
dhcpd adres 10.10.10.11 - 10.10.10.126 management
!
threat-detection podstawowy-threat
threat-detection statystyki port
threat-detection statystyki protocol
threat-detection statystyki przystępować-list
no zagrożenie-wykrycie statystyki tcp-intercept
webvpn
group-policy BranchOffices internal
group-policy BranchOffices attributes
dns-serwer wartość 192.168.80.10
vpn-tunnel-protokół IPSec
rozłam-tunnel-polisa tunnelspecified
rozłam-tunnel-sieć-spisywać wartość BranchOffices_splitTunnelAcl
default-domena wartość aurec.com .au
group-policy DfltGrpPolicy attributes
vpn-tunnel-protokół IPSec l2tp-ipsec
podstawowy enable
username aurecsig hasło cTMjLs6t2jB0v8J7 utajniać przywilej 0
username aurecsig attributes
vpn-grupować-polisa BranchOffices
username aurechk hasło WNF5K5bx.CLd5SSa utajniać przywilej 0
username aurechk attributes
vpn-grupować-polisa BranchOffices
username aureccan hasło vJSIcYRb43cBhk35 utajniać przywilej 0
username aureccan attributes
vpn-grupować-polisa BranchOffices
username aurecmel hasło at.vbO43bPU/cXAz utajniać przywilej 0
username aurecmel attributes
vpn-grupować-polisa BranchOffices
username admin hasło clofk8EM73OlZoFM utajniać przywilej 15
tunnel-group DefaultL2LGroup ipsec-attributes
pre-dzielić-wpisywać *
 przyglądać się-id-potwierdzać cert
tunnel-group BranchOffices typ pilot-access
tunnel-group BranchOffices ogólny-attributes
adresować-gromadzić VPNPool
default-grupować-polisa BranchOffices
tunnel-group BranchOffices ipsec-attributes
pre-dzielić-wpisywać *
!
class-map inspection_default
zapałczany default-inspekcja-traffic
class-map typ sprawdzać http dopasowywać-wszystkie bannedsites
dopasowanie prośba uri regex domainlist3
!
!
policy-map typ sprawdzać dns preset_dns_map
parameters
wiadomość-długość maksimum 512
policy-map typ sprawdzać http DomainList
parameters
protokół-naruszenie akcja opuszczać-connection
dopasowanie prośba uri regex domainlist3
opuszczać-związek log
dopasowanie prośba uri regex domainlist1
opuszczać-związek log
dopasowanie prośba uri regex domianlist2
opuszczać-związek log
policy-map global_policy
klasowy inspection_default
sprawdzać dns preset_dns_map
sprawdzać ftp
sprawdzać h323 h225
sprawdzać h323 ras
sprawdzać rsh
sprawdzać rtsp
sprawdzać esmtp
sprawdzać sqlnet
sprawdzać skinny
sprawdzać sunrpc
sprawdzać xdmcp
sprawdzać sip
sprawdzać netbios
sprawdzać tftp
sprawdzać icmp
!
service-policy global_policy global
privilege cmd poziom 3 tryb exec rozkaz perfmon
privilege cmd poziom 3 tryb exec rozkaz ping
privilege cmd poziom 3 tryb exec rozkaz who
privilege cmd poziom 3 tryb exec rozkaz logging
privilege cmd poziom 3 tryb exec rozkaz failover
privilege przedstawienie poziom 5 tryb exec rozkaz import
privilege przedstawienie poziom 5 tryb exec rozkaz bieg-config
privilege przedstawienie poziom 3 tryb exec rozkaz reload
privilege przedstawienie poziom 3 tryb exec rozkaz mode
privilege przedstawienie poziom 3 tryb exec rozkaz firewall
privilege przedstawienie poziom 3 tryb exec rozkaz asp
privilege przedstawienie poziom 3 tryb exec rozkaz cpu
privilege przedstawienie poziom 3 tryb exec rozkaz interface
privilege przedstawienie poziom 3 tryb exec rozkaz clock
privilege przedstawienie poziom 3 tryb exec rozkaz dns-hosts
privilege przedstawienie poziom 3 tryb exec rozkaz przystępować-list
privilege przedstawienie poziom 3 tryb exec rozkaz logging
privilege przedstawienie poziom 3 tryb exec rozkaz vlan
privilege przedstawienie poziom 3 tryb exec rozkaz ip
privilege przedstawienie poziom 3 tryb exec rozkaz ipv6
privilege przedstawienie poziom 3 tryb exec rozkaz failover
privilege przedstawienie poziom 3 tryb exec rozkaz asdm
privilege przedstawienie poziom 3 tryb exec rozkaz arp
privilege przedstawienie poziom 3 tryb exec rozkaz route
privilege przedstawienie poziom 3 tryb exec rozkaz ospf
privilege przedstawienie poziom 3 tryb exec rozkaz aaa-server
privilege przedstawienie poziom 3 tryb exec rozkaz aaa
privilege przedstawienie poziom 3 tryb exec rozkaz eigrp
privilege przedstawienie poziom 3 tryb exec rozkaz crypto
privilege przedstawienie poziom 3 tryb exec rozkaz vpn-sessiondb
privilege przedstawienie poziom 3 tryb exec rozkaz ssh
privilege przedstawienie poziom 3 tryb exec rozkaz dhcpd
privilege przedstawienie poziom 3 tryb exec rozkaz vpn
privilege przedstawienie poziom 3 tryb exec rozkaz blocks
privilege przedstawienie poziom 3 tryb exec rozkaz wccp
privilege przedstawienie poziom 3 tryb exec rozkaz dynamiczny-filter
privilege przedstawienie poziom 3 tryb exec rozkaz webvpn
privilege przedstawienie poziom 3 tryb exec rozkaz module
privilege przedstawienie poziom 3 tryb exec rozkaz uauth
privilege przedstawienie poziom 3 tryb exec rozkaz compression
privilege przedstawienie poziom 3 tryb konfigurować nakazowy interface
privilege przedstawienie poziom 3 tryb konfigurować nakazowy clock
privilege przedstawienie poziom 3 tryb konfigurować rozkaz przystępować-list
privilege przedstawienie poziom 3 tryb konfigurować nakazowy logging
privilege przedstawienie poziom 3 tryb konfigurować nakazowy ip
privilege przedstawienie poziom 3 tryb konfigurować nakazowy failover
privilege przedstawienie poziom 5 tryb konfigurować nakazowy asdm
privilege przedstawienie poziom 3 tryb konfigurować nakazowy arp
privilege przedstawienie poziom 3 tryb konfigurować nakazowy route
privilege przedstawienie poziom 3 tryb konfigurować nakazowy aaa-server
privilege przedstawienie poziom 3 tryb konfigurować nakazowy aaa
privilege przedstawienie poziom 3 tryb konfigurować nakazowy crypto
privilege przedstawienie poziom 3 tryb konfigurować nakazowy ssh
privilege przedstawienie poziom 3 tryb konfigurować nakazowy dhcpd
privilege przedstawienie poziom 5 tryb konfigurować nakazowy privilege
privilege jasny poziom 3 tryb exec rozkaz dns-hosts
privilege jasny poziom 3 tryb exec rozkaz logging
privilege jasny poziom 3 tryb exec rozkaz arp
privilege jasny poziom 3 tryb exec rozkaz aaa-server
privilege jasny poziom 3 tryb exec rozkaz crypto
privilege jasny poziom 3 tryb exec rozkaz dynamiczny-filter
privilege cmd poziom 3 tryb konfigurować nakazowy failover
privilege jasny poziom 3 tryb konfigurować nakazowy logging
privilege jasny poziom 3 tryb konfigurować nakazowy arp
privilege jasny poziom 3 tryb konfigurować nakazowy crypto
privilege jasny poziom 3 tryb konfigurować nakazowy aaa-server
prompt hostname domain
Cryptochecksum: 69b06f8d3ce8db846f7a72cc6a1770ff
:End

Odpowiedź : ustawianie NAT na Cisco ASA

To być oczekiwać zachowanie.  Ty móc the internet subnets przez 2 interfejs na ASA.  The ASA otrzymywać twój świst prośba, ale ono być brak trasa the internet być twój the inny internet ścieżka.  Przychodzić nie udać się ponieważ the ruch drogowy próbować różny interfejs wtedy ono przychodzić wewnątrz.  Jeżeli ty odłączony lub zamknięcie twój początkowy połączenie z internetem, the DSL jeden można ono być brak trasa automatycznie zaludniać w the "przedstawienie trasa" rozkaz, i wtedy ty być sprawnie ping ten związek.

The jedyny sposób ty móc ten DSL związek dla ruch drogowy, i kontynuować móc twój normalny Ruch w Internecie use eth0/0 być sprawnie statyczny trasa w the ASA dla the źródło the ruch drogowy.  I.e.:

trasa outside_3 77.77.77.77 255.255.255.255 202.177.215.117

Wtedy źródło twój ruch drogowy od 77.77.77.77, i ty musieć sprawnie ping 202.177.215.118