Недавно я установил межсетевой экран Cisco ASA 5505 на границе нашей локальной сети. Настройка проста:
Интернет <--> ASA <--> ЛВС
Я хотел бы предоставить хостам в локальной сети подключение по протоколу IPv6, настроив туннель 6in4 дляSixXS.
Было бы неплохо использовать ASA в качестве конечной точки туннеля, чтобы он мог экранировать трафик как IPv4, так и IPv6.
К сожалению, ASA, по-видимому, не может самостоятельно создать туннель и не может перенаправлять трафик протокола 41, поэтому я полагаю, что мне придется сделать одно из следующего:
- Настройте хост с собственным IP-адресомснаружибрандмауэр и иметь эту функцию как туннель-конечная точка. Затем ASA может брандмауэр и маршрутизировать подсеть v6 в локальную сеть.
- Настройте хоствнутрибрандмауэр, который функционирует как конечная точка, разделенная через vlan или что-то еще, и замыкает трафик обратно в ASA, где он может быть защищен брандмауэром и маршрутизирован. Это кажется надуманным, но позволило бы мне использовать виртуальную машину вместо физической машины в качестве конечной точки.
- Любым другим путем?
Какой оптимальный способ настройки вы бы предложили?
P.S. У меня есть свободный публичный IP-адрес, если понадобится, и я могу развернуть еще одну виртуальную машину в нашей инфраструктуре VMware.
решение1
У меня была та же проблема, и я ее решил. Ваш вопрос мне очень помог, на самом деле. Петлевое туннелирование было трюком.
В версии 8.3 произошли существенные изменения в ОС ASA, особенно в отношении NAT. Я использую именно ее, так что, скорее всего, синтаксис не будет работать до версии 8.3. Я не знаю, можно ли вообще это сделать до версии 8.3.
Вот как это настроено. Я приведу ниже некоторые фрагменты конфигурации, чтобы подтвердить это.
Как и у вас, у меня есть ASA между моим пограничным маршрутизатором и моей внутренней сетью. У меня есть только один адрес IPv4 с публичной адресацией. Я смог преобразовать трафик протокола NAT 41 между определенным внешним хостом и определенным внутренним хостом, используя внешний публичный IP-адрес ASA. Туннель заканчивается на внутреннем хосте.
Внутренний хост имеет два интерфейса Ethernet. Один, подключенный к внутренней сети, работает только с IPv4. Другой, подключенный к тому же сегменту, что и внешний интерфейс ASA, работает только с IPv6. Также есть туннельный интерфейс для туннеля IPv6. Конфигурация туннеля взята непосредственно с веб-сайта Hurricane Electric. Если у вас настроен туннель с их помощью, они могут показать вам подробные инструкции по настройке как минимум для 8 различных операционных систем.
ASA использует IPv4-адрес граничного маршрутизатора в качестве своего маршрута IPv4 по умолчанию. Он использует IPv6-адрес конечной точки туннеля в качестве своего адреса IPv6 по умолчанию. Внутренние хосты используют ASA в качестве своего маршрута по умолчанию для любой версии, за исключением конечной точки туннеля, которая использует свой интерфейс туннеля в качестве маршрута по умолчанию для IPv6.
Пакеты IPv6 проходят через ASA дважды в каждом направлении. Выйдя, они проходят через ASA, в конечную точку туннеля, где они помещаются в туннель, и снова выходят через ASA. И IPv4, и IPv6 получают все преимущества брандмауэра ASA.
Настоящая хитрость заключалась в том, чтобы пропустить трафик протокола 41 через ASA. Вот части, которые заставляли это работать:
object service 6in4
service 41
object network ipv6_remote_endpoint
host x.x.x.x
object network ipv6_local_endpoint
host y.y.y.y
access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint
nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint
Удачи вам!
Роб