Cisco ASA 8.2 to 9.x :: migrando :: parte 2

En esta ocasión, me toca migrar tema NAT.

Supongamos que tenemos nuestra red local 192.168.2.0/24 y un rango de ip’s públicas, por ejemplo 1.1.1.0/29.

Lo más lógico, es NATear 1:1, es decir, una ip privada de la red, contra una ip pública y permitir / denegar tráfico mediante ACL….. por defecto, está todo cerrado excepto, lo que nosotros permitimos…

configuración en asa 8.2.5… ip privada 192.168.2.2, nateada contra la pública 1.1.1.2 y permitimos 25 y 443 tcp.


static (inside,outside) 1.1.1.2 192.168.2.2 netmask 255.255.255.255

access-list outside_in permit tcp any host 1.1.1.2 eq 25
access-list outside_in permit tcp any host 1.1.1.2 eq 443

access-group outside_in in interface outside

Ahora toca migrar la config a versión 9.x:

object network poseidon
host 192.168.2.2
nat (inside,outside) static 172.26.2.2

access-list outside_in extended permit tcp any object poseidon eq 443
access-list outside_in extended permit tcp any object poseidon eq 25
access-group outside_in in interface outside

Primero toca definir el objeto, aplicamos la regla al object y finalmente, el grupo de reglas al interface que toca.

Cisco ASA 8.2 to 9.x :: migrando :: parte 1

Hace poco me decidí a probar la versión 8.4 de asa y la recién horneada 9.1.3 pero mi sorpresa al migrar desde la 8.2, es que todo el tema de nat, cambia por completo… ahora tiene más opciones.

Tenemos un equipo con la 192.168.2.2 y lo queremos natear a la pública 172.26.2.2… empezamos con el pix/asa 7.2.x / 8.x:


static (inside,outside) 172.26.2.2 192.168.2.2 netmask 255.255.255.255

Con esta entrada, nateamos la ip privada 192.168.2.2 a la pública 172.26.2.2, esto en nuestro asa 7.2.x hasta la 8.2.5.

Si queremos hacer lo mismo en una versión más nueva.. 8.4 o superior, deberá ser así:

primero definimos el objeto:

object network poseidon
host 192.168.2.2

Y seguimos:

object network poseidon
nat (inside,outside) static 172.26.2.2

Las access-list, quedan igual… con esto, ya tenemos solucionado el primer paso, que es crear las publicaciones.

Donde antes teníamos el nat global y demás histórias :

nat (inside) 1 192.168.2.0 255.255.255.0
global (outside) 1 interface

ahora será así:

object network red_local
subnet 192.168.2.0 255.255.255.0

object network red_local
nat (inside,outside) dynamic interface

Y la excepción de nat…. por ejemplo, quiero evitar el nat de la 192.168.2.0/24 a la 10.0.0.0/8 (red Guifi); en el asa 7.2 es así:

access-list 100 permit ip 192.168.2.0 255.255.255.0 10.0.0.0 255.0.0.0
nat (inside) 0 access-list 100

Y nos queda tal que:

object network redLocal
subnet 192.168.2.0 255.255.255.0
object network redGuifi
subnet 10.0.0.0 255.255.255.0
nat (inside,any) source static redLocal redLocal destination static redGuifi redGuifi no-proxy-arp

Con esto ya tenemos la primera parte …. enjoy 🙂