asa外網訪問內網伺服器

1、CISCO ASA5520 內網遠程訪問不了外網遠程桌面

不知是否用cisco的ASDM工具管理ASA的，nat和路由方式訪問外網？在配置里防火牆項添加內網到外網的3389埠試一下，加到DENY條目前面。

2、怎樣配置ASA才能實現內網，Dmz和外網的訪問

兩個方法！
1，在路由器上路由映射
2，在路由器上把你需要被訪問的那台內網電腦設置成DMZ主機！

「192.168.1.163:1111」這個前面是IP，後面是埠號，在路由器裡面映射的含義是，比如你外網IP是202.202.10.10 那麼互聯網上訪問202.202.10.10，且目標埠號是1111的數據包全轉發到你的這台內網電腦上面。

順便補充下： jincailan 的回答基本是答非所問！花生殼的作用是域名和你的IP綁定，適用於動態IP地址的伺服器，因為它會自動更新綁定域名。

3、CISCO ASA5504 防火牆如何設置內網訪問自己的外網IP

典型的nat迴流問題，例如：

拓撲如上所示：內網web伺服器server內網地址：192.168.1.254 在出口路由上即RT-NAT上做了地址映射為172.16.0.3 ，現在ISP上有個loopback0模擬外網用戶，訪問web伺服器正常（本文用埠23模擬），如下：
內網用戶用內部地址直接訪問，沒問題：

內網用戶用伺服器映射後的公網地址訪問，不通：

查看防火牆鏈接如下：flag為saA，即內網pc給伺服器發送了sys但沒有收到對端的syn+ack報文。

由此可看出是TCP三次握手出現了問題，接下來我們PC的F0/0上抓包，結果如下：

可以看出第一次是pc（192.168.1.2）給伺服器（映射後公網地址為172.16.0.3）發了syn，之後，數據包穿越防火牆到達外網RT，外網RT收到報文後轉發給了內網192.168.1.254的web伺服器真是地址，web伺服器查看原地址為同一網段，目的可達，因此直接將數據包轉發給PC終端，即抓包顯示的第二條，s：192.168.1.154 d：192.168.1.2 報文syn+ack。這就證實了防火牆的鏈接為什麼是saA了，隨後pc給web伺服器發送了rst報文，即第三行。因為，在pc看來，它並沒有給192.168.1.254發送syn報文，所以它重置了會話報文。下面幾行就是TCP重傳機制了。

至此問題清楚了。

解決方案列舉兩種：1、如果內網有自己的DNS伺服器，直接在DNS伺服器上做指針，例如：www.a.com 指向192.168.1.254內網真是地址即可。如果內網沒有DNS伺服器可直接訪問IP或者更改寫個腳本在AD環境中分發並執行host批處理。但改host對於移動辦公的終端比較麻煩，在公司辦公時可以用host直接訪問，但出了公司就無法解析了，需要把host改回來，用公網DNS解析訪問公網。推薦在內部搭建DNS伺服器。

2、在牆上做策略NAT。在此不在贅述。

詳細的可以去我博客：網頁鏈接

4、思科 asa5520 防火牆，內網訪問區域網伺服器的外網IP地址訪問不了，在外網訪問外網的可以？

正常是訪問不了的，我們公司用的也是asa5520，在內網的時候，訪問內網設備只能用內部區域網IP。如果需要外部測試的話，最好找一台在外網的設備，直接訪問公網地址去測試

5、思科 asa5520 防火牆，內網怎樣才能用外網IP訪問內網中對應伺服器

設置外網代理伺服器，在用代理訪問內網對應伺服器

6、asa5510如何讓內網電腦通過外網地址訪問內網伺服器,哪位高手能給我一個詳細的配置呢,謝謝!

（1）先在oray申請一個免費域名，並且開通花生殼服務
（2）在電腦上下載一個花生殼軟體，登陸以後察看你的域名是否已經激活，若沒有激活，就先激活。直接點右鍵就可以有激活的選項。
（3）路由器的設置：這不是最關鍵的。
下面介紹的是我用的tplink(TL-R402M)路由器的設置。其他路由器設置原理都和這個差不太多。
a.先登陸你的路由器管理界面（瀏覽器里輸入192.168.1.1，默認的管理員用戶名密碼都是admin，只要你的路由器密碼沒有被修改過，就用這個登陸）
b.設置「虛擬伺服器」（這個選項可能在不同的路由器中所處的問之不同，你自己可以找找看，我的是在「轉發規則」里邊的）
你要是只開通了web服務，那就在添加一個信息，內容為：服務埠：80，ip地址：192.168.1.*（*就是你ip的最後一位），協議：tcp，最後再點啟用。如果你還想添加ftp服務，那隻需要再添加一個埠號為21的，其他設置和上面的web的設置一樣。然後就是保存。
c.設置「DMZ主機」
啟用DMZ主機，並且在DMZ主機ip地址里寫你的地址。保存。

現在路由器已經設置完成了。
（4）本地電腦上要啟動花生殼軟體。並且激活相關域名的花生殼服務。然後等幾分鍾，然後在花生殼軟體上的第四個選項（IP工具）里查詢你的域名狀態。前兩項不用動，只在最下邊輸入你的域名，查詢出來後下邊會顯示的域名（name）和地址（address），如果這里的ip和你的公有地址相同（就是你的外網可以看到的ip，不是指192開頭的那一個。），那就正常。再ping你的域名，如果能ping通且顯示的你的公有ip，那就可以了。
現在只需要你啟動你的iis服務，並且設置好iis里的相關項（這里說的相關項和你的花生殼沒有關系。你主要就是設置主目錄，文檔之類的選項，這個就不用我教了吧）

好了，你現在就可以用http://xxx.vicp.net訪問你伺服器上的網站了。如果你在路由器里21埠也設置了，而且iis里也啟動了ftp服務，那就可以用ftp://xxx.vicp.net來訪問你的ftp伺服器。

7、ASA5505 如何讓內網用戶通過IP訪問內網伺服器 外網地址

這是默認的安全策略， 不管思科還是華三都這樣。你內網用戶不能用映射地址或者域名訪問本網路伺服器。 在ASA 上做指向內網路由試試。

8、cisco ASA防火牆配置將內網的伺服器發布到外網，但外網卻無法訪問

你用的gns3做的模擬，那麼你用什麼模擬的客戶端？ 路由器啟用ip http server?
先理順一下思路，你的sever需要被外網訪問的幾個條件是什麼
1、路由可達，客戶端或伺服器的默認路由應該指向防火牆（或者用策略路由指向）

2、關鍵埠的映射，如80 ，23 等等，或者直接採用靜態映射。//你在這里使用靜態映射，其他暫且不論

3、策略的放行，不管是放行埠還是 直接permit ip any any //這里ok，我記得你之前是有條permit ip any any的。

假定連接模式是 Router(ISP) --- ASA ---Router(Server)
上面三點中，映射有，acl放行（至於acl精細控制，就是開放哪個埠就permit那個埠，其餘的deny，既然是實驗 permit ip any any也可），所以需要確認的是路由是否可達，server 能否直接ping通 isp的地址
如果使用router 模擬server 應該在server 上面添加 ip route 0.0.0.0 0.0.0.0 防火牆介面地址（網關地址）
ip default-gateway 應該是不起作用的。
我用gns3模擬asa有些問題，暫時做不了環境，生產環境中ios是9.22的，nat配置與acl跟8.x的有些許差異
如果還有問題的話，你給我私信吧，約個時間給你看下。

9、思科ASA，內部伺服器映射出去，外網可以正常訪問，但客戶需求特殊還需要內網也用外網映射的IP訪問內部服務

什麼情況再內網為什麼要用公網訪問啊 有病啊他們

10、如何ping通Cisco ASA防火牆下的內網伺服器

從內ping外測是一樣，外到內的話防火牆會攔截