Cisco ASA 8.2 to 9.x :: migrando :: parte 1

Hace poco me decidí a probar la versión 8.4 de asa y la recién horneada 9.1.3 pero mi sorpresa al migrar desde la 8.2, es que todo el tema de nat, cambia por completo… ahora tiene más opciones.

Tenemos un equipo con la 192.168.2.2 y lo queremos natear a la pública 172.26.2.2… empezamos con el pix/asa 7.2.x / 8.x:


static (inside,outside) 172.26.2.2 192.168.2.2 netmask 255.255.255.255

Con esta entrada, nateamos la ip privada 192.168.2.2 a la pública 172.26.2.2, esto en nuestro asa 7.2.x hasta la 8.2.5.

Si queremos hacer lo mismo en una versión más nueva.. 8.4 o superior, deberá ser así:

primero definimos el objeto:

object network poseidon
host 192.168.2.2

Y seguimos:

object network poseidon
nat (inside,outside) static 172.26.2.2

Las access-list, quedan igual… con esto, ya tenemos solucionado el primer paso, que es crear las publicaciones.

Donde antes teníamos el nat global y demás histórias :

nat (inside) 1 192.168.2.0 255.255.255.0
global (outside) 1 interface

ahora será así:

object network red_local
subnet 192.168.2.0 255.255.255.0

object network red_local
nat (inside,outside) dynamic interface

Y la excepción de nat…. por ejemplo, quiero evitar el nat de la 192.168.2.0/24 a la 10.0.0.0/8 (red Guifi); en el asa 7.2 es así:

access-list 100 permit ip 192.168.2.0 255.255.255.0 10.0.0.0 255.0.0.0
nat (inside) 0 access-list 100

Y nos queda tal que:

object network redLocal
subnet 192.168.2.0 255.255.255.0
object network redGuifi
subnet 10.0.0.0 255.255.255.0
nat (inside,any) source static redLocal redLocal destination static redGuifi redGuifi no-proxy-arp

Con esto ya tenemos la primera parte …. enjoy 🙂