Sans vouloir paraître condescendant, vous devez vérifier votre compréhension des éléments suivants NAT ;
Les clients du réseau local ont probablement un adresses IP privées (de RFC1918 ) qui ne sont pas routables sur Internet. Les deux interfaces WAN ont probablement des adresses IP publiques routables attribuées par les deux FAI auxquels elles sont connectées.
Lorsqu'un hôte du réseau local se connecte à un hôte sur Internet, tel qu'un serveur Web, il envoie la demande à l'ASA, qui la transmet à l'hôte Internet distant, mais traduit l'adresse IP de l'hôte du réseau local dans la demande en l'une de ses adresses IP publiques. Si l'ASA envoie la requête via la première interface WAN, l'ASA change l'IP source de la requête par l'IP assignée de la première interface WAN ;
Action Translated Packet:
Source:
Outside-ISP1
Si la demande est envoyée via la deuxième interface WAN, elle utilise l'autre règle, Outside-ISP2
et la requête est modifiée pour utiliser l'adresse IP source de la deuxième interface WAN, au lieu de l'adresse IP privée interne du LAN.
Si vous laissez tomber l'une ou l'autre de ces règles de NAT, les adresses des hôtes du réseau local ne sont pas traduites en une adresse publique routable et la demande envoyée au site Web ne recevra pas de réponse, car le site Web ne peut pas communiquer avec un hôte sur une adresse IP privée, il ne saura pas où il se trouve ni comment s'y rendre sur Internet.
Comme les deux règles sont apparemment les mêmes, il suffit de regarder la première :
SourceInt DesInt Source Destination Service Source Destination Service
3 inside Outside-ISP1 obj_Any any any Outside-ISP1 original original
Cette règle dit "Tout le trafic qui entre dans l'interface appelée inside
(qui sera probablement l'interface LAN), qui est destiné à l'interface appelée Outside-ISP1
(qui sera vraisemblablement la première interface WAN, et qui s'y rendra probablement à cause d'une route par défaut sur l'ASA), qui provient de l'IP source correspondant à celles de l'interface obj_Any
(qui correspond vraisemblablement à n'importe quelle IP d'hôte interne au LAN) cherchant à atteindre une Destination
de any
et par un Service
de any
; L'IP source sera changée en Outside-ISP1
(l'IP de l'interface WAN1) et le Destination
laissé tel quel, et le Service
laissé tel quel.
Ces options supplémentaires permettant de faire correspondre le trafic en fonction de la destination et du service peuvent être utilisées pour d'autres types de règles NAT, telles que la redirection de port ou le routage basé sur des politiques.