Recientemente instalé un firewall Cisco ASA 5505 en el borde de nuestra LAN. La configuración es sencilla:
Internet <--> ASA <--> LAN
Me gustaría proporcionar a los hosts de la LAN conectividad IPv6 configurando un túnel 6 en 4 paraSeisXS.
Sería bueno tener el ASA como punto final del túnel para que pueda proteger el tráfico IPv4 e IPv6.
Desafortunadamente, el ASA aparentemente no puede crear un túnel por sí mismo y no puede reenviar el tráfico del protocolo 41, por lo que creo que tendría que hacer una de las siguientes opciones:
- Configurar un host con su propia IPafuerael firewall y tener esa función como punto final del túnel. Luego, el ASA puede crear un firewall y enrutar la subred v6 a la LAN.
- Configurar un anfitriónadentroel firewall que funciona como punto final, separado a través de VLAN o lo que sea, y enlaza el tráfico nuevamente al ASA donde puede ser firewall y enrutado. Esto parece artificial, pero me permitiría usar una máquina virtual en lugar de una máquina física como punto final.
- ¿Cualquier otra forma?
¿Cuál sugeriría que es la forma óptima de configurar esto?
PD: Tengo una dirección IP pública adicional disponible si es necesario y puedo activar otra VM en nuestra infraestructura VMware.
Respuesta1
Tuve el mismo problema y lo resolví. De hecho, tu pregunta me ayudó mucho. El túnel loopback fue el truco.
Hubo cambios significativos en el sistema operativo ASA, especialmente con respecto a NAT, en la versión 8.3. Eso es lo que estoy ejecutando, por lo que es probable que la sintaxis no funcione antes de la versión 8.3. No sé si se podía hacer esto antes de la versión 8.3.
Así es como está configurado. Incluiré algunos fragmentos de configuración a continuación para respaldar esto.
Como usted, tengo un ASA entre mi enrutador perimetral y mi red interna. Solo tengo una dirección IPv4 direccionable públicamente. Pude controlar el tráfico del protocolo NAT 41 entre un host externo específico y un host interno específico utilizando la dirección IP pública externa del ASA. El túnel termina en un host interno.
El host interno tiene dos interfaces ethernet. Uno, conectado a la red interna, sólo ejecuta IPv4. El otro, conectado al mismo segmento que la interfaz exterior del ASA, solo ejecuta IPv6. También hay una interfaz de túnel para el túnel IPv6. La configuración del túnel provino directamente del sitio web de Hurricane Electric. Si tienes un túnel configurado con ellos, pueden mostrarte instrucciones de configuración detalladas para al menos 8 sistemas operativos diferentes.
El ASA utiliza la dirección IPv4 del enrutador perimetral como ruta IPv4 predeterminada. Utiliza la dirección IPv6 del punto final del túnel como dirección IPv6 predeterminada. Los hosts internos utilizan el ASA como ruta predeterminada para cualquier versión, excepto el punto final del túnel, que utiliza su interfaz de túnel como predeterminada para IPv6.
Los paquetes IPv6 pasan por el ASA dos veces en cada dirección. Salen a través del ASA, hasta el punto final del túnel donde ingresan al túnel y salen nuevamente a través del ASA. Tanto IPv4 como IPv6 obtienen todos los beneficios del firewall ASA.
El verdadero truco fue conseguir que el tráfico del protocolo 41 pasara por el ASA. Aquí están las piezas que hicieron que eso funcionara:
object service 6in4
service 41
object network ipv6_remote_endpoint
host x.x.x.x
object network ipv6_local_endpoint
host y.y.y.y
access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint
nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint
¡Suerte con ello!
Robar