Ich habe vor kurzem eine Cisco ASA 5505-Firewall am Rand unseres LANs installiert. Die Einrichtung ist einfach:
Internet <--> ASA <--> LAN
Ich möchte den Hosts im LAN IPv6-Konnektivität bieten, indem ich einen 6in4-Tunnel einrichte zuSixXS.
Es wäre schön, die ASA als Tunnelendpunkt zu haben, damit sie sowohl IPv4- als auch IPv6-Verkehr per Firewall steuern kann.
Leider kann die ASA anscheinend selbst keinen Tunnel erstellen und den Datenverkehr über Protokoll 41 nicht weiterleiten. Ich glaube daher, dass ich stattdessen einen der folgenden Schritte ausführen muss:
- Richten Sie einen Host mit eigener IP eindraußendie Firewall und nutzen Sie diese als Tunnelendpunkt. Die ASA kann dann das v6-Subnetz über die Firewall an das LAN weiterleiten.
- Einen Host einrichteninnendie Firewall, die als Endpunkt fungiert, getrennt über VLAN oder was auch immer, und den Datenverkehr zurück in die ASA leitet, wo er durch eine Firewall geschützt und weitergeleitet werden kann. Das scheint konstruiert, würde mir aber ermöglichen, eine VM statt einer physischen Maschine als Endpunkt zu verwenden.
- Irgendeine andere Möglichkeit?
Was wäre Ihrer Meinung nach die optimale Vorgehensweise zur Einrichtung?
PS: Ich habe bei Bedarf eine freie öffentliche IP-Adresse zur Verfügung und kann eine weitere VM in unserer VMware-Infrastruktur hochfahren.
Antwort1
Ich hatte das gleiche Problem und habe es gelöst. Ihre Frage hat mir tatsächlich sehr geholfen. Der Trick war das Loopback-Tunneling.
In der Version 8.3 gab es erhebliche Änderungen am ASA-Betriebssystem, insbesondere in Bezug auf NAT. Das ist das, was ich verwende, daher ist es wahrscheinlich, dass die Syntax vor 8.3 nicht funktioniert. Ich weiß nicht, ob dies vor 8.3 überhaupt möglich war.
So wird es eingerichtet. Ich werde unten einige Konfigurationsausschnitte einfügen, um dies zu belegen.
Wie Sie habe ich eine ASA zwischen meinem Edge-Router und meinem internen Netzwerk. Ich habe nur eine öffentlich adressierbare IPv4-Adresse. Ich konnte den Verkehr zwischen einem bestimmten externen Host und einem bestimmten internen Host über das NAT-Protokoll 41 unter Verwendung der externen öffentlichen IP-Adresse der ASA steuern. Der Tunnel endet auf einem internen Host.
Der interne Host verfügt über zwei Ethernet-Schnittstellen. Eine, die mit dem internen Netzwerk verbunden ist, verwendet nur IPv4. Die andere, die mit demselben Segment wie die externe Schnittstelle der ASA verbunden ist, verwendet nur IPv6. Es gibt auch eine Tunnelschnittstelle für den IPv6-Tunnel. Die Konfiguration des Tunnels stammt direkt von der Website von Hurricane Electric. Wenn Sie einen Tunnel bei ihnen konfiguriert haben, können sie Ihnen detaillierte Konfigurationsanweisungen für mindestens 8 verschiedene Betriebssysteme zeigen.
Die ASA verwendet die IPv4-Adresse des Edge-Routers als Standard-IPv4-Route. Sie verwendet die IPv6-Adresse des Tunnelendpunkts als Standard-IPv6-Adresse. Interne Hosts verwenden die ASA als Standardroute für beide Versionen, mit Ausnahme des Tunnelendpunkts, der seine Tunnelschnittstelle als Standard für IPv6 verwendet.
IPv6-Pakete durchlaufen die ASA zweimal in jede Richtung. Sie durchlaufen die ASA zum Tunnelendpunkt, wo sie in den Tunnel eingespeist werden, und gehen wieder durch die ASA hinaus. Sowohl IPv4 als auch IPv6 profitieren von allen Vorteilen der ASA-Firewall.
Der eigentliche Trick bestand darin, den Protokoll-41-Verkehr durch die ASA zu leiten. Hier sind die Teile, die dafür gesorgt haben:
object service 6in4
service 41
object network ipv6_remote_endpoint
host x.x.x.x
object network ipv6_local_endpoint
host y.y.y.y
access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint
nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint
Viel Glück damit!
rauben