asa外网访问内网服务器

1、CISCO ASA5520 内网远程访问不了外网远程桌面

不知是否用cisco的ASDM工具管理ASA的，nat和路由方式访问外网？在配置里防火墙项添加内网到外网的3389端口试一下，加到DENY条目前面。

2、怎样配置ASA才能实现内网，Dmz和外网的访问

两个方法！
1，在路由器上路由映射
2，在路由器上把你需要被访问的那台内网电脑设置成DMZ主机！

“192.168.1.163:1111”这个前面是IP，后面是端口号，在路由器里面映射的含义是，比如你外网IP是202.202.10.10 那么互联网上访问202.202.10.10，且目标端口号是1111的数据包全转发到你的这台内网电脑上面。

顺便补充下： jincailan 的回答基本是答非所问！花生壳的作用是域名和你的IP绑定，适用于动态IP地址的服务器，因为它会自动更新绑定域名。

3、CISCO ASA5504 防火墙如何设置内网访问自己的外网IP

典型的nat回流问题，例如：

拓扑如上所示：内网web服务器server内网地址：192.168.1.254 在出口路由上即RT-NAT上做了地址映射为172.16.0.3 ，现在ISP上有个loopback0模拟外网用户，访问web服务器正常（本文用端口23模拟），如下：
内网用户用内部地址直接访问，没问题：

内网用户用服务器映射后的公网地址访问，不通：

查看防火墙链接如下：flag为saA，即内网pc给服务器发送了sys但没有收到对端的syn+ack报文。

由此可看出是TCP三次握手出现了问题，接下来我们PC的F0/0上抓包，结果如下：

可以看出第一次是pc（192.168.1.2）给服务器（映射后公网地址为172.16.0.3）发了syn，之后，数据包穿越防火墙到达外网RT，外网RT收到报文后转发给了内网192.168.1.254的web服务器真是地址，web服务器查看原地址为同一网段，目的可达，因此直接将数据包转发给PC终端，即抓包显示的第二条，s：192.168.1.154 d：192.168.1.2 报文syn+ack。这就证实了防火墙的链接为什么是saA了，随后pc给web服务器发送了rst报文，即第三行。因为，在pc看来，它并没有给192.168.1.254发送syn报文，所以它重置了会话报文。下面几行就是TCP重传机制了。

至此问题清楚了。

解决方案列举两种：1、如果内网有自己的DNS服务器，直接在DNS服务器上做指针，例如：www.a.com 指向192.168.1.254内网真是地址即可。如果内网没有DNS服务器可直接访问IP或者更改写个脚本在AD环境中分发并执行host批处理。但改host对于移动办公的终端比较麻烦，在公司办公时可以用host直接访问，但出了公司就无法解析了，需要把host改回来，用公网DNS解析访问公网。推荐在内部搭建DNS服务器。

2、在墙上做策略NAT。在此不在赘述。

详细的可以去我博客：网页链接

4、思科 asa5520 防火墙，内网访问局域网服务器的外网IP地址访问不了，在外网访问外网的可以？

正常是访问不了的，我们公司用的也是asa5520，在内网的时候，访问内网设备只能用内部局域网IP。如果需要外部测试的话，最好找一台在外网的设备，直接访问公网地址去测试

5、思科 asa5520 防火墙，内网怎样才能用外网IP访问内网中对应服务器

设置外网代理服务器，在用代理访问内网对应服务器

6、asa5510如何让内网电脑通过外网地址访问内网服务器,哪位高手能给我一个详细的配置呢,谢谢!

（1）先在oray申请一个免费域名，并且开通花生壳服务
（2）在电脑上下载一个花生壳软件，登陆以后察看你的域名是否已经激活，若没有激活，就先激活。直接点右键就可以有激活的选项。
（3）路由器的设置：这不是最关键的。
下面介绍的是我用的tplink(TL-R402M)路由器的设置。其他路由器设置原理都和这个差不太多。
a.先登陆你的路由器管理界面（浏览器里输入192.168.1.1，默认的管理员用户名密码都是admin，只要你的路由器密码没有被修改过，就用这个登陆）
b.设置“虚拟服务器”（这个选项可能在不同的路由器中所处的问之不同，你自己可以找找看，我的是在“转发规则”里边的）
你要是只开通了web服务，那就在添加一个信息，内容为：服务端口：80，ip地址：192.168.1.*（*就是你ip的最后一位），协议：tcp，最后再点启用。如果你还想添加ftp服务，那只需要再添加一个端口号为21的，其他设置和上面的web的设置一样。然后就是保存。
c.设置“DMZ主机”
启用DMZ主机，并且在DMZ主机ip地址里写你的地址。保存。

现在路由器已经设置完成了。
（4）本地电脑上要启动花生壳软件。并且激活相关域名的花生壳服务。然后等几分钟，然后在花生壳软件上的第四个选项（IP工具）里查询你的域名状态。前两项不用动，只在最下边输入你的域名，查询出来后下边会显示的域名（name）和地址（address），如果这里的ip和你的公有地址相同（就是你的外网可以看到的ip，不是指192开头的那一个。），那就正常。再ping你的域名，如果能ping通且显示的你的公有ip，那就可以了。
现在只需要你启动你的iis服务，并且设置好iis里的相关项（这里说的相关项和你的花生壳没有关系。你主要就是设置主目录，文档之类的选项，这个就不用我教了吧）

好了，你现在就可以用http://xxx.vicp.net访问你服务器上的网站了。如果你在路由器里21端口也设置了，而且iis里也启动了ftp服务，那就可以用ftp://xxx.vicp.net来访问你的ftp服务器。

7、ASA5505 如何让内网用户通过IP访问内网服务器 外网地址

这是默认的安全策略， 不管思科还是华三都这样。你内网用户不能用映射地址或者域名访问本网络服务器。 在ASA 上做指向内网路由试试。

8、cisco ASA防火墙配置将内网的服务器发布到外网，但外网却无法访问

你用的gns3做的模拟，那么你用什么模拟的客户端？ 路由器启用ip http server?
先理顺一下思路，你的sever需要被外网访问的几个条件是什么
1、路由可达，客户端或服务器的默认路由应该指向防火墙（或者用策略路由指向）

2、关键端口的映射，如80 ，23 等等，或者直接采用静态映射。//你在这里使用静态映射，其他暂且不论

3、策略的放行，不管是放行端口还是 直接permit ip any any //这里ok，我记得你之前是有条permit ip any any的。

假定连接模式是 Router(ISP) --- ASA ---Router(Server)
上面三点中，映射有，acl放行（至于acl精细控制，就是开放哪个端口就permit那个端口，其余的deny，既然是实验 permit ip any any也可），所以需要确认的是路由是否可达，server 能否直接ping通 isp的地址
如果使用router 模拟server 应该在server 上面添加 ip route 0.0.0.0 0.0.0.0 防火墙接口地址（网关地址）
ip default-gateway 应该是不起作用的。
我用gns3模拟asa有些问题，暂时做不了环境，生产环境中ios是9.22的，nat配置与acl跟8.x的有些许差异
如果还有问题的话，你给我私信吧，约个时间给你看下。

9、思科ASA，内部服务器映射出去，外网可以正常访问，但客户需求特殊还需要内网也用外网映射的IP访问内部服务

什么情况再内网为什么要用公网访问啊 有病啊他们

10、如何ping通Cisco ASA防火墙下的内网服务器

从内ping外测是一样，外到内的话防火墙会拦截