Comment accéder à mon serveur interne sur l'IP externe?

Nous essayons de configurer notre Cisco 5505, et cela a été fait via ASDM.

Il y a un gros problème que nous ne sommes pas en mesure de résoudre, et c'est quand vous allez de l'intérieur vers l'extérieur et que vous revenez à nouveau.

Exemple, nous avons un serveur "à l'intérieur" et nous voulons pouvoir accéder à ce serveur avec la même adresse si nous sommes à l'intérieur ou si nous sommes à l'extérieur.

Le problème consiste à ajouter une règle qui autorise le trafic de l'intérieur vers l'extérieur, puis à nouveau.

Le pare-feu ASA ne peut pas acheminer le trafic. Vous devez masquer l'adresse interne par rapport à l'adresse externe.

Solution 1: raclage DNS avec NAT statique

Disons que l'adresse IP de votre site Web externe est 1.2.3.4, qui est ensuite à nouveau transmise par port (ou directement NAT) à l'adresse IP interne 192.168.0.10. Avec le raclage DNS, les événements suivants se produisent:

1. Le client à l'intérieur demande http://www.companyweb.com , qui se traduit à l'origine par 1.2.3.4
2. L'ASA intercepte le paquet de réponse DNS et remplace l'enregistrement A par 192.168.0.10
3. Le client est très heureux, car il peut maintenant ouvrir le site Web de l'entreprise :-)

Pour des informations plus détaillées sur la façon d'activer ceci: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Solution 2: serveur DNS interne

Celui-ci est utile si vous n'avez qu'une seule IP externe et que vous transférez cette IP vers de nombreux services internes sur différents serveurs (disons que les ports 80 et 443 vont à 192.168.0.10, le port 25 va à 192.168.0.11, etc.).

Il ne nécessite aucun changement de configuration sur l'ASA, mais il vous demandera de dupliquer votre domaine externe sur un serveur DNS interne (Active Directory a cela intégré). Vous venez de créer exactement les mêmes enregistrements que vous avez maintenant, uniquement avec des IP internes sur les services que vous avez en interne.

"Solution" 3: Interface DMZ avec IP publiques

Je ne vais pas entrer dans les détails de celui-ci, car cela vous oblige à obtenir un sous-réseau d'adresses IP de votre FAI routé vers votre ASA. C'est très difficile de nos jours avec la famine IPv4.

Comme d'autres questions similaires sont marquées comme des doublons avec une référence à ici, je souhaite compléter l'excellente réponse de @pauska avec une 4ème option.

Solution 4: routage du trafic via NAT Hairpinning

Le fait de permettre le trafic via une interface sur une appliance Cisco PIX / ASA, par exemple lorsqu'un client nat: ed accède à un serveur nat: ed via son IP publique est appelé NAT Hairpinning par Cisco.

Il utilise essentiellement les mêmes paramètres de configuration que d'habitude pour la redirection nat et port, mais avec l'ajout de cette commande:

same-security-traffic permit intra-interface

et un deuxième mappage statique pour le trafic interne vers le serveur:

static(inside,inside) i.i.i.i x.x.x.x

Ceci est décrit en détail avec un exemple de configuration ici pour une conception à deux interfaces: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

Et voici une alternative Destination NAT pour une conception à trois interfaces: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

Vous ne pouvez pas accéder à l'interface extérieure sur un Pix / ASA de l'intérieur. Vous devez rediriger les demandes DNS pour l'adresse externe du serveur vers l'adresse interne.