Reglas de No NAT o NAT Exemption para firewalls ASA

Aunque han pasado varios años desde que Cisco liberó la versión 8.3 del sistema operativo de sus firewalls ASA, con el cual se incluyeron muchos cambios en la línea de comandos, aún es muy común encontrarse con equipos en plena producción que corren versiones anteriores y frecuentemente no es posible actualizarlas ya que para esto es necesario detener todas las operaciones.

En este breve artículo comentaré las diferencias entre la versión anterior a 8.3 y posteriores respecto a las reglas de excepción de NAT para tráfico en una VPN site-to-site. Hay que recordar que la idea de esta regla es prevenir que el tráfico que ingresa en la interfaz inside del firewall sea procesada como tráfico regular y pase por el motor de conversión NAT del dispositivo, sino que se utilice una ACL para seleccionar el tráfico local hacia la red remota y se le indique al ASA que no realice NAT en ese caso.

Primero asumiremos el siguiente direccionamiento para la LAN local y para la LAN remota del túnel VPN

– LAN Local: 192.168.10.0/24
– LAN Remota: 192.168.20.0/24

Antes de 8.3
Para todos los firewalls ASA cuya versión sea menor a 8.3, las reglas de NAT exemption se realizan de manera muy simple:

Versiones 8.3 y posteriores
En los ASA actuales la sintaxis de NAT es totalmente diferente, y por ello primero debemos crear grupos de objetos u object groups. La idea de estos object groups es que sirvan como variables que puedan ser invocadas más fácilmente en la configuración cuando se haga referencia varias veces al mismo elemento. En el caso de NAT primero crearemos dos object groups, uno para la LAN local y otro para la LAN remota. Posterior a eso asociaremos ambos object groups con la instrucción NAT:

En este caso asumiremos, naturalmente, que el tráfico ingresa en la interfaz inside y se mapea con la interfaz outside. Con esto ya tendremos nuestra regla de NAT exemption creada.

  • ψυχή Rea

    Hola

    Podria explicar los diferentes tipos de nat?

    Doble nat/ el no nat y demas?