có anh/chị nào đó ko? giúp e với

Chào anh,

Anh cần cấu hình các bước sau.

1. Cấu hình nat port trên ASA cho 2 dịch vụ
vd: ASA(config-network-object)# nat (inside,outside) static 192.168.1.200 service tcp www www

Regular Static NAT hoặc Static NAT-with-Port-Translation
Step 1: Tạo Network object
object network obj_name
Step 2: Cấu hình NAT
nat [(real_ifc,mapped_ifc)] static{mapped_inline_ip | mapped_obj |interface} [dns | service {tcp | udp}real_port mapped_port]

2. Cấu hình NAT overload cho client bên trong vùng inside ra Internet
ASA(config-network-object)# nat (any,outside) dynamic interface

Regular Dynamic PAT
Step 1: Tạo Network object
object network obj_name
Step 2: Cấu hình Dynamic NAT:
nat [(real_ifc,mapped_ifc)] dynamicmapped_obj [interface]


3. Cấu hình NAT trên modem:
Cấu hình port forwarding để NAT port cho ip đặt trên interface outside của ASA
Cấu hình NAT bình thường để NAT cho ip của interface outside của ASA ra internet


Trường hợp modem và ASA bridge được với nhau thì chỉ cần cấu hình bước 1 và 2 là đủ

Bạn tham khảo:

Nat đi internet:


Nat vào, bạn thay đổi lại service http 80, rdp 3389 cho phù hợp nhé:

Cảm ơn anh tuấn, và các anh/ chị
E đã cấu hình như thế này rồi: nhưng chỉ có inside ra được internet; bên ngoài Internet chưa remote hoặc http vào server 192.168.1.200; địa chỉ ip tỉnh của e là 123.25.117.68;
Nhờ Các anh/chị chỉ giúp e với
E cảm ơn
ciscoasa# sh run
: Saved
:
ASA Version 8.4(4)1
!
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
description Ket noi Internet
nameif outside
security-level 0
ip address 192.168.3.2 255.255.255.0
!
interface Ethernet0/1
description Ket noi Inside
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.10.1 255.255.255.0
management-only
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network myRDP
host 192.168.1.200
object network webserver
host 192.168.1.200
access-list outside extended permit icmp any any
access-list outside extended permit ip any host 192.168.1.200
access-list inside extended permit ip any host 192.168.1.200
pager lines 24
logging asdm informational
mtu management 1500
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (inside,outside) source dynamic obj_any interface
!
object network myRDP
nat (inside,outside) static interface service tcp 3389 3389
object network webserver
nat (inside,outside) static interface service tcp www www
access-group outside in interface outside
access-group inside in interface inside
route outside 0.0.0.0 0.0.0.0 192.168.3.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
http 192.168.10.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd address 192.168.10.2-192.168.10.254 management
dhcpd enable management
!
dhcpd address 192.168.1.2-192.168.1.253 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:5b7c66464b9779086555802a334c4686
: end

Trên Modem FTTH (draytek vigor 2110) e đã nat đến outside của asa là 192.168.3.2

các bác chỉ giúp e với??

Open Port trên Draytek về địa chỉ 192.168.3.100

cảm ơn anh! Nhưng địa chỉ 192.168.3.100 không tồn tại ở đây mà
Có anh/ chị chỉ giúp với

Có anh/chị nào đó ko? giúp e với?
Anh Phạm Minh Tuấn ơi chỉ giúp e với?
E nghỉ, e cấu hình mở port bị sai trên ASA, vì tại port lan của Router FTTH e vẫn ko dùng đc service 80, 3389. Nhờ A/c hướng dẫn cho e với?

Bạn thử NAT theo đoạn lệnh dưới:
Địa chỉ 192.168.3.100 là một địa chỉ bất kỳ thuộc mạng nối giữa ASA và draytek. Khi bên ngoài truy cập vào IP WAN cổng 3389 nó sẽ redirect sang IP LAN cổng 3389 ở đây là 192.168.3.100:3389, luồng dữ liệu của 192.168.1.200 của Web server sẽ được ASA chuyển thành 192.168.3.100 (static NAT) khi đi lên trên draytek.

Bạn test từng đoạn đi, xem Nat từ modem vigor vào 1 máy laptop, sau đó remote vào laptop này bằng ip wan test thử, nếu ok qua kiểm tra tiếp trên asa,
Ghi chú :
- Nat trên vigor bạn đang dùng NAT DMZ Host, nếu không chạy bạn chuyển qua tab Port Redirect thử (nhiều khi modem nó bị đơ),
- Muốn dùng port 80 cho srv web, bạn nên đổi access vào modem service http port 80 thanh port khác nhé, vd : 8080 thì mới dùng port 80 để Nat vào srv web được,

E thử NAT như vậy mà vẫn không được, nhờ chỉ giúp thêm cho e với, e đang cần quá

Tại sao ko được. Trên modem Open port 3389, 80, 8080 trỏ về Local Server là 192.168.3.100 còn trong ASA thì cấu hình như ban HOCTRONGHEO.

Cảm ơn các anh/ chị rất nhiều, e đã làm đc rồi.
Cho em hỏi thêm cái này nữa. Làm sao để cho phép ping từ inside đến outside, và từ inside ra DNS của nhà cung cấp dịch vụ (chẳng hạn như 203.162.4.1) để kiểm tra đường truyền nhỉ?
chỉ giúp e với.