BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Problemas con un CISCO ASA

1
pepealbacora

Llevo varios días rompiéndome la cabeza con un CISCO ASA 5505 que tenemos que configurar en la empresa. He configurado las interfaces (inside, outside y dmz) y he creado las reglas de nateo para poder pasar de una interface a otra pero no tengo cojones. Os dejo la salida del comando show run a ver si alguien se apiada de mi.

ciscoasa(config)# show run
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password xxxxxxxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.7 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
ospf cost 10
!
interface Vlan3
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 3
!
interface Ethernet0/2
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd xxxxxxxxxxxxx encrypted
ftp mode passive
clock timezone WET 0
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface
access-list outside_access_in extended permit tcp any host xxxxxxxxxxxx eq www
access-list inside_access_out extended permit icmp 192.168.0.0 255.255.255.0 192
.168.2.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 200 interface
global (dmz) 200 192.168.2.3-192.168.2.254 netmask 255.255.255.0
nat (inside) 200 192.168.0.0 255.255.255.0
access-group inside_access_out out interface in
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeou
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d0a00b60241f6aee1cc46ac8cad012b8
: end
ciscoasa(config)#

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
BocaDePez
BocaDePez

Has probado en los foros de cisco?
Son muy rapidos.

🗨️ 1
pepealbacora

Si te digo que tengo abierta una intervención en el SAT de Cisco pero el ingeniero de turno no se aclara el "pobrecito". Si pudieras facilitarme dónde se encuentran esos foros salvadores te lo agradecería un montón.

BocaDePez
BocaDePez

Yo no entiendo mucho... pero a qué interfaz físico asocias la vlan1? es decir, inside? hay alguna ventaja para que lo hagas por VLANs? no sería mejor poner las IPs en los interfaces, visto como lo tienes?
Saludos.

🗨️ 2
pepealbacora

El motivo de utilizar Vlans virtuales es para separar de forma lógica la red que tenemos. Fisicamente no puedo conectar directamente todos los equipos porque el maldito ASA sólo tiene 8 bocas y claro disponemos de 30 máquinas. Asocio 3 VLans a las 3 interfaces. Las 3 Vlans se corresponden con las 3 primeras bocas del ASA (outside, dmz, inside). La outside va conectada directamente al Router ADSL mediante cale cruzado. La dmz la conecto al Servidor WEB para aislarlo del resto y en la inside conecto el switch de 48 bocas que tenemos. De todas maneras esto lo tengo claro. Lo que no consigo es poder hacer ping de la inside por ejemplo a la dmz. Los capullos de Cisco no me aclaran nada. Voy a mandar todo esto a la PUT... MIE...
Muchas gracias por vuestra ayuda. Perdonarme pero estoy un poco nervioso porque veo que no avanzo con este tema.

🗨️ 1
BocaDePez
BocaDePez

Yol e pondría en el interface Ethernet0/2 a qué Vlan pertenece, es decir la 1. No es un switch y no sé si da por sentado el paso de la Vlan1.
De todos modos cuando tengas la solución ponlo.

mezcua

El problema que tienes es con el nivel de seguridad de los interfaces debes ponerles el mismo a los que quieras que pase trafico entre ellos, ademas de poner el comando
same-security-traffic permit inter-interface
para permitir el trafico entre interfaces con el mismo nivel de seguridad, ademas te recomiendo que no uses el nat-control, esto te permite comunicar los interfaces sin nat obligatorio, prueba y nos cuentas.

Un saludo.

🗨️ 2
pepealbacora

Desesperado. No creo que sea tan difícil configurar un ASA pero esto es superior a mí. No consigo pasar de la inside a la dmz. Al ingenierio de cisco que lleva el caso lo voy a manda a tomar POR EL CULO. Qué el tio no sea capaz (despues de haberle mandado 5 veces el show run) de resolver esto. Intentaré abrir otra intervención haber si me toca uno que sepa. Por cierto he probado con los comandos de la última respuesta pero NULO, CERO, NADA. Estoy con la moral por los suelos. Muchas gracias por todo.

🗨️ 1
jangeles

Hola Pepe, yo tambien tengo el mismo problema...desde internet si se puede entrar a la DMZ, pero desde el inside no....ando tambien buscando que hacer...a ver si resolviste tu problema porfa dame una mano.

Saludos

Jesus

BocaDePez
BocaDePez

Por si alguien se apiada tb de mí, con el mismo cacharro, tengo la dmz configurada una red WIFI, el problema es que alguna gente de esa red tiene que acceder por IPSec a mi ASA, pero no conozco como, con cualquier otra conexión desde el exterior me funciona perfectamente ya que entran por la IP publica y el router dirige el trafico IPSec al ASA, pero si desde la WIFI utilizo el mismo router para salir en el outside del ASA, este no me hace caso de las traslaciones de puertos IPSec.

Un consejo por favor.

BocaDePez
BocaDePez

Por un modico precio te lo arreglo y dejo fino, jeje como se nota que curro de freelance.

jangeles

Bueno, no se esto le sirva a alguien, en mi caso me sirvió, para poder conectarme desde mi inside a la DMZ, ya que sólo se podia ver el DMZ desde afuera. Tuve un troubleshoting con un fulano de cisco, y puso esta linea al ASA y funcionó:

same-security-traffic permit inter-interface

Con esto se podia navegar desde la inside a la DMZ.

🗨️ 1
mezcua

ese comando solo te vale si tienes el nivel de seguridad igual en los dos interfaces, ademas de eso debes de teclear el "no nat-control" para obligar al firewall a pasar trafico no nateado y clsificarlo en base a las cabeceras y no a los nat como hace normalmente, de todos modos, si tienes ue administrar un ASA y estas con estos problemillas te recomiendo que te hagas el snpa de cisco.

Un saludo.

BocaDePez
BocaDePez

Me parece que has complicado mucho el tema del nateo, prueba con esto:

nat (inside) 1 0.0.0.0 0.0.0.0
nat (dmz) 1 0.0.0.0 0.0.0.0
static (inside,dmz) 192.168.2.0 192.168.2.0 netmask 255.255.255.0

y a ver si hay suerte.

mezcua

Me he revisado tu configuracion, tienes mal esto,

access-group inside_access_out out interface inside

el comando correcto es:

access-group inside_access_out in interface inside

Con eso debes llegar a tu dmz,

Por cierto, lo que se comenta en el post anterior que se refiere a los comandos:

nat (inside) 1 0.0.0.0 0.0.0.0
nat (dmz) 1 0.0.0.0 0.0.0.0

No vale para nada si no hay un global asociado al Nat 1, si lo que quieres es no hacer nat debes hacerlo de la siguiente manera:

nat (inside) 0 0
nat (dmz) 0 0
no nat-control

Esto hace que lo que venga con origen Interface inside o Dmz no se use la clasificacion con nat que hacen cisco para definir donde va el trafico, prueba y nos comentas si se arregla con el cambio de sentido del access-group

Un saludo

BocaDePez
BocaDePez

Cierto, me dejé una línea por copiar:

global (Outside) 1 interface

🗨️ 1
mezcua

Aun asi esta mal definido, un "no nat" se hace como comento en mi post anterior, ya que con el ID 0 se asume que es para no nat y no se necesita el global, a ver que nos cuenta este hombre, he revisado la config completa, en la access-list que tienes filtrando el trafico entre el interface inside y la dmz solo permites el trafico icmp, recordarte que los firewall incluyen una access-list implicita que deniega todo y que aunque no la veas existe, por lo que debes incluir en esa access-list el trafico que quieres cursar por ella, si tienes cualquier duda sobre esto, posteala.

Un saludo.

1