CISCO ASA5504 防火墙如何设置内网访问自己的外网IP

典型的nat回流问题，例如：

拓扑如上所示：内网web服务器server内网地址：192.168.1.254 在出口路由上即RT-NAT上做了地址映射为172.16.0.3 ，现在ISP上有个loopback0模拟外网用户，访问web服务器正常（本文用端口23模拟），如下：

内网用户用内部地址直接访问，没问题：

内网用户用服务器映射后的公网地址访问，不通：

查看防火墙链接如下：flag为saA，即内网pc给服务器发送了sys但没有收到对端的syn+ack报文。

由此可看出是TCP三次握手出现了问题，接下来我们PC的F0/0上抓包，结果如下：

可以看出第一次是pc（192.168.1.2）给服务器（映射后公网地址为172.16.0.3）发了syn，之后，数据包穿越防火墙到达外网RT，外网RT收到报文后转发给了内网192.168.1.254的web服务器真是地址，web服务器查看原地址为同一网段，目的可达，因此直接将数据包转发给PC终端，即抓包显示的第二条，s：192.168.1.154 d：192.168.1.2 报文syn+ack。这就证实了防火墙的链接为什么是saA了，随后pc给web服务器发送了rst报文，即第三行。因为，在pc看来，它并没有给192.168.1.254发送syn报文，所以它重置了会话报文。下面几行就是TCP重传机制了。

至此问题清楚了。

解决方案列举两种：1、如果内网有自己的DNS服务器，直接在DNS服务器上做指针，例如：www.a.com 指向192.168.1.254内网真是地址即可。如果内网没有DNS服务器可直接访问IP或者更改写个脚本在AD环境中分发并执行host批处理。但改host对于移动办公的终端比较麻烦，在公司办公时可以用host直接访问，但出了公司就无法解析了，需要把host改回来，用公网DNS解析访问公网。推荐在内部搭建DNS服务器。

2、在墙上做策略NAT。在此不在赘述。

详细的可以去我博客：网页链接

很明显.你的IP没有自动获得取到..可能对方的WIFI路由器没有开启DHCP.所以,你获取不到IP地址,上不了网.因为你贴出来的IP就显示没有获得到.

建议你手动填下IP地址.确认之后.看能不能上网.

你按我说的IP去填试试

IP 192.168.1.75

掩码 255.255.255.0

网关 192.168.1.1

首DNS 192.168.1.1

备DNS 8.8.8.8

这样设置之后.确定.

这样无线会显示已经连接上,不要高兴太早,因为这只代表IP返回正常,不代表已经成功.

还要上网试一试.还是不能连接上的话,对方就是在路由器里面设置了DHCP关闭.MAC地址过滤.绑定IP之类的了.那就需要更高导致的技术,也就不是一二句话能说得清楚的了

无法解析服务器的DNS地址是可能是路由器有问题，无法分配IP地址；电脑的DNS设置不正确；电脑没有获取到DNS。

DNS解析错误的解决方法：

1、清空DNS缓存，打开【开始】，点击【运行】，在运行内输入【cmd】

2、输入【cmd】点击确认，弹出窗口之后，在窗口里输入【ipconfig/flushdns】

3、输入后回车，出现【已成功刷新DNS解析缓存】就表示DNS缓存已经成功清空

4、接下来就是设置DNS了，打开【控制面板】，找到【网络和Internet】【网络连接】，选择【本地连接】，点击右键进入【属性】

5、进入后选择【Internet协议版本4】双击进入

6、进入后选择【自动获得IP地址（0）】和【自动获取DNS服务器地址（D）】，然后点击确认就完成设置了，之后就可以正常连接网络上网了

---