Instalei recentemente um firewall Cisco ASA 5505 na borda da nossa LAN. A configuração é simples:
Internet <--> ASA <--> LAN
Eu gostaria de fornecer conectividade IPv6 aos hosts da LAN configurando um túnel 6 em 4 paraSeisXS.
Seria bom ter o ASA como endpoint do túnel para que ele pudesse proteger o tráfego IPv4 e IPv6.
Infelizmente, o ASA aparentemente não pode criar um túnel sozinho e não pode encaminhar o tráfego do protocolo 41, então acredito que teria que fazer o seguinte:
- Configure um host com seu próprio IPforao firewall e tem essa função como ponto final do túnel. O ASA pode então firewall e rotear a sub-rede v6 para a LAN.
- Configure um hostdentroo firewall que funciona como endpoint, separado via vlan ou qualquer outra coisa, e faz o loop do tráfego de volta para o ASA, onde pode ser protegido por firewall e roteado. Isso parece artificial, mas me permitiria usar uma VM em vez de uma máquina física como endpoint.
- Qualquer outra maneira?
Qual você sugeriria que fosse a maneira ideal de configurar isso?
PS: Tenho um endereço IP público sobressalente disponível, se necessário, e posso ativar outra VM em nossa infraestrutura VMware.
Responder1
Eu tive o mesmo problema e resolvi isso. Sua pergunta me ajudou muito, na verdade. O tunelamento de loopback era o truque.
Houve mudanças significativas no sistema operacional ASA, especialmente com relação ao NAT, na versão 8.3. É isso que estou executando, então é provável que a sintaxe não funcione antes da versão 8.3. Não sei se você poderia fazer isso antes do 8.3.
Veja como está configurado. Incluirei alguns trechos de configuração abaixo para comprovar isso.
Assim como você, tenho um ASA entre meu roteador de borda e minha rede interna. Eu só tenho um endereço IPv4 publicamente endereçável. Consegui fazer o tráfego do protocolo NAT 41 entre um host externo específico e um host interno específico usando o endereço IP público externo do ASA. O túnel é encerrado em um host interno.
O host interno possui duas interfaces Ethernet. Um, conectado à rede interna, roda apenas IPv4. O outro, conectado ao mesmo segmento da interface externa do ASA, executa apenas IPv6. Há também uma interface de túnel para o túnel IPv6. A configuração do túnel veio diretamente do site da Hurricane Electric. Se você tiver um túnel configurado com eles, eles poderão mostrar instruções detalhadas de configuração para pelo menos 8 sistemas operacionais diferentes.
O ASA usa o endereço IPv4 do roteador de borda como rota IPv4 padrão. Ele usa o endereço IPv6 do endpoint do túnel como endereço IPv6 padrão. Os hosts internos usam o ASA como rota padrão para qualquer versão, exceto o ponto final do túnel, que usa sua interface de túnel como padrão para IPv6.
Os pacotes IPv6 passam pelo ASA duas vezes em cada direção. Para fora, eles passam pelo ASA até o ponto final do túnel, onde são colocados no túnel, e saem novamente pelo ASA. Tanto o IPv4 quanto o IPv6 obtêm todos os benefícios do firewall ASA.
O verdadeiro truque foi conseguir o tráfego do protocolo 41 através do ASA. Aqui estão as peças que fizeram esse trabalho:
object service 6in4
service 41
object network ipv6_remote_endpoint
host x.x.x.x
object network ipv6_local_endpoint
host y.y.y.y
access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint
nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint
Boa sorte com isso!
Roubar