Перенаправление ASA

Что такое «к себе же»? На локальную машину? На аску?

Объясню подробнее. Есть машина в локалке, имеется аса с натом, при приходе на асу трафика скажем на 1.2.3.4:80 извне - натится на другую машину в локалке. А как перейти на 1.2.3.4:80 изнутри? Попадаешь в реальности на одну и ту же машину, но трафик воспринимается как внешний. Не помню, находил где то, но давно..

http://xgu.ru/wiki/Cisco_ASA/NAT

До полного просветления. Тетя Ася - не роутер :) у неё свои склерозы :)

Боже, глянул - и чуть сердце не хватило. Маршрутизация на Cisco выглядит еще более-менее, но что касается ACL-ов и NAT-ов - это лютый треш. Так специально сделали, чтобы покупатели сертификатов чувствовали что не зря отвалили денег?

Да, у меня было такое же. Так сказать NAT без заковырок я настроил достаточно быстро, а вот такие всякие тонкости довольно сложно найти. Ты еще не настраивал access list'ами доступ в инет (например всем запрет на список сайтов, некоторым доступ на все сайты). Там почему то работала логика отрицания, типа создаешь правила для объектов которые не будут попадать под правило, а не наоборот как должно бы быть. И инфы о таком поведении я так и не нашел пока сам не выяснил эмпирическим путем. Ответ - да. Так сделали специально, чтоб без сертификата и обучения ты нихрена сделать не смог, так как куча неявных вещей которые абсолютно перестраивают результат, либо вообще дают нерабочий конфиг.

Это Вы Фантомас к чему? То, что сделать такое невозможно? Меня уверяют, что это достаточно легко, но не говорят как). Кстати IOS 8.2.5

Там почему то работала логика отрицания, типа создаешь правила для объектов которые не будут попадать под правило, а не наоборот как должно бы быть

потому что запрещено все, что не разрешено. И это логично.

Что конкретно надо сделать-то?

Настроен static PAT из внешнего 1.2.3.4:80 на внутренний 10.20.30.40:80 и хочется изнутри пойти именно на 1.2.3.4:80 и попасть на 10.20.30.40:80?
(Не буду спрашивать нафиг такое надо.)

Или ходим на http://www.partyzan.rf, который расположенным снаружи DNS-ом резолвится в 1.2.3.4, а надо чтобы внутренний клиент шёл на 10.20.30.40?

С виду оба варианта подходят, но второй вариант более близок. Попробую еще объяснить. На машине расположенной внутри сети открываем скажем браузер и в строку адреса прописываем 1.2.3.4:80. Данный адрес является белым в который натится вся локалка и весь траф из локалки направляется в 1.2.3.4, а весь трафик с 1.2.3.4 направляется на провайдерский шлюз 1.2.3.5. Нужно сделать так, чтобы введя этот 1.2.3.4:80 скажем в браузере на машине находящейся в локальной сети (скажем 192.168.1.1) был не реальный (серый, (например 192.168.1.2) не маршрутизируемый в инетнете адрес) а белый 1.2.3.4. Только вот непонятно как именно это сделать и нужно заворачивать трафик назад до попадания его в провайдерский шлюз или подменять адреса так, как будто трафик пришел снаружи.

был не реальный (серый, (например 192.168.1.2) не маршрутизируемый в инетнете адрес) а белый

Не распарсил :)

Вопрос - где должен быть белый ?

Белый должен быть в браузере, в адресной строке.

Нужно зайти в локалку по внешнему (белому) адресу изнутри. Сейчас если я в строке браузерной напишу свой внешний ip находясь в локалке сервер недоступен. Если я извне наберу тот же (внешний, белый) ip, то с помощью nat трафик смапится на нужную машину и порт и все работает.

Как я понял, он хочет hairpin nat.

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-gen...

По моему, как раз твой случай.

И еще раз повторюсь - Cisco ASA это НЕ Cisco ISR.

Да, вот увидел и вспомнил термин). Спасибо други.

Моего случая я там не увидел, там типичная настройка nat и доступ к вебсерверу с его помощью да и там по 8.3.

Все получилось, спасибо добрый человек.

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-gen...

Hairpinning по ссылке сделает почти то что описано в первом варианте. Правда с т.з. сервера трафик будет приходить не снаружи, а от ASA. Чтобы было «как бы снаружи» надо поменять interface в «global (inside) 1 interface» на что-нибудь левое.

Но скорее всего тебе всё-таки нужен DNS doctoring — второй вариант (первый по ссылке).