Задать вопрос
vesper-bot
@vesper-bot
Любитель файрволлов

Cisco ASA 5506 — как опубликовать сервер за роутером?

Есть Cisco ASA 5506, которая стоит в режиме файрволла с одной внутренней сетью 192.168.4.0/24. За роутером (маршрут имеется) есть ещё одна сеть, .5.0/24, в ней есть сервер, мне нужен к нему доступ по RDP. Публикую на циске, создав объект сервера, добавляю к нему автоматические NAT-правила, пишу публикуемый сервис (tcp-udp/3389). Дописываю желаемые сервера в внешний список доступа. Запускаю packet-tracer - он мне пишет ошибку проверки reverse-path:

Type - NAT Subtype - rpf-check Action - DROP
Config
object network DVCAP-DC nat (any,outside) static interface no-proxy-arp service tcp 3389 3389


Вопрос - с какого фига? Откуда взялся rpf-check, если у циски есть маршрут до сети, и он привязан к внутреннему интерфейсу?
# sh route 
....
S        192.168.5.0 255.255.255.0 [1/0] via 192.168.4.4, inside


PS: проблема была в packet tracer, поэтому вернул тег на место.
  • Вопрос задан
  • 1387 просмотров
Подписаться 2 Простой Комментировать
Решения вопроса 1
vesper-bot
@vesper-bot Автор вопроса
Любитель файрволлов
Проблема оказалась в том, что я в packet tracer при проверке настроенного проброса порта задавал destination IP сразу целевой, и rpf-check обнаруживал, что пакет с таким целевым IP:port должен был сначала пройти нат, и выдавал ошибку. То есть публикация была правильная, а методика проверки - нет. Правильно в таких случаях проверять, указывая IP:port до ната (т.е. IP циски и пробрасываемый порт).
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
ragent
@ragent
сетевой инженер
Максим Гришин мало исходных данных. надо схему сети и конфиг асы.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы