25 respuestas
17 mensajes

Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
  • Cerrado

    #1518278

    Problemas con un CISCO ASA

    Llevo varios días rompiéndome la cabeza con un CISCO ASA 5505 que tenemos que configurar en la empresa. He configurado las interfaces (inside, outside y dmz) y he creado las reglas de nateo para poder pasar de una interface a otra pero no tengo cojones. Os dejo la salida del comando show run a ver si alguien se apiada de mi.

    ciscoasa(config)# show run
    : Saved
    :
    ASA Version 7.2(2)
    !
    hostname ciscoasa
    domain-name default.domain.invalid
    enable password xxxxxxxxxx encrypted
    names
    !
    interface Vlan1
    nameif inside
    security-level 100
    ip address 192.168.0.7 255.255.255.0
    ospf cost 10
    !
    interface Vlan2
    nameif outside
    security-level 0
    ip address dhcp setroute
    ospf cost 10
    !
    interface Vlan3
    nameif dmz
    security-level 50
    ip address 192.168.2.1 255.255.255.0
    !
    interface Ethernet0/0
    switchport access vlan 2
    !
    interface Ethernet0/1
    switchport access vlan 3
    !
    interface Ethernet0/2
    !
    interface Ethernet0/3
    shutdown
    !
    interface Ethernet0/4
    shutdown
    !
    interface Ethernet0/5
    shutdown
    !
    interface Ethernet0/6
    !
    interface Ethernet0/7
    !
    passwd xxxxxxxxxxxxx encrypted
    ftp mode passive
    clock timezone WET 0
    dns server-group DefaultDNS
    domain-name default.domain.invalid
    same-security-traffic permit intra-interface
    access-list outside_access_in extended permit tcp any host xxxxxxxxxxxx eq www
    access-list inside_access_out extended permit icmp 192.168.0.0 255.255.255.0 192
    .168.2.0 255.255.255.0
    pager lines 24
    logging enable
    logging asdm informational
    mtu inside 1500
    mtu outside 1500
    mtu dmz 1500
    no failover
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-522.bin
    no asdm history enable
    arp timeout 14400
    global (outside) 200 interface
    global (dmz) 200 192.168.2.3-192.168.2.254 netmask 255.255.255.0
    nat (inside) 200 192.168.0.0 255.255.255.0
    access-group inside_access_out out interface in
    access-group outside_access_in in interface outside
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout uauth 0:05:00 absolute
    http server enable
    http 192.168.0.0 255.255.255.0 inside
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    telnet timeou
    ssh timeout 5
    console timeout 0
    dhcpd auto_config outside
    !

    !
    class-map inspection_default
    match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect rsh
    inspect rtsp
    inspect esmtp
    inspect sqlnet
    inspect skinny
    inspect sunrpc
    inspect xdmcp
    inspect sip
    inspect netbios
    inspect tftp
    !
    service-policy global_policy global
    prompt hostname context
    Cryptochecksum:d0a00b60241f6aee1cc46ac8cad012b8
    : end
    ciscoasa(config)#

      • #1518333

        Cerrado

        Si te digo que tengo abierta una intervención en el SAT de…

        Si te digo que tengo abierta una intervención en el SAT de Cisco pero el ingeniero de turno no se aclara el "pobrecito". Si pudieras facilitarme dónde se encuentran esos foros salvadores te lo agradecería un montón.

    • #1518639

      Cerrado

      Yo no entiendo mucho... pero a qué interfaz físico asocias la…

      Yo no entiendo mucho... pero a qué interfaz físico asocias la vlan1? es decir, inside? hay alguna ventaja para que lo hagas por VLANs? no sería mejor poner las IPs en los interfaces, visto como lo tienes?
      Saludos.

      • #1518760

        Cerrado

        El motivo de utilizar Vlans virtuales es para separar de…

        El motivo de utilizar Vlans virtuales es para separar de forma lógica la red que tenemos. Fisicamente no puedo conectar directamente todos los equipos porque el maldito ASA sólo tiene 8 bocas y claro disponemos de 30 máquinas. Asocio 3 VLans a las 3 interfaces. Las 3 Vlans se corresponden con las 3 primeras bocas del ASA (outside, dmz, inside). La outside va conectada directamente al Router ADSL mediante cale cruzado. La dmz la conecto al Servidor WEB para aislarlo del resto y en la inside conecto el switch de 48 bocas que tenemos. De todas maneras esto lo tengo claro. Lo que no consigo es poder hacer ping de la inside por ejemplo a la dmz. Los capullos de Cisco no me aclaran nada. Voy a mandar todo esto a la PUT... MIE...
        Muchas gracias por vuestra ayuda. Perdonarme pero estoy un poco nervioso porque veo que no avanzo con este tema.

        • #1519287

          Cerrado

          Yol e pondría en el interface Ethernet0/2 a qué Vlan…

          Yol e pondría en el interface Ethernet0/2 a qué Vlan pertenece, es decir la 1. No es un switch y no sé si da por sentado el paso de la Vlan1.
          De todos modos cuando tengas la solución ponlo.

    • #1519435

      Cerrado

      El problema que tienes es con el nivel de seguridad de los…

      El problema que tienes es con el nivel de seguridad de los interfaces debes ponerles el mismo a los que quieras que pase trafico entre ellos, ademas de poner el comando
      same-security-traffic permit inter-interface
      para permitir el trafico entre interfaces con el mismo nivel de seguridad, ademas te recomiendo que no uses el nat-control, esto te permite comunicar los interfaces sin nat obligatorio, prueba y nos cuentas.

      Un saludo.

      • #1519587

        Cerrado

        Desesperado. No creo que sea tan difícil configurar un ASA…

        Desesperado. No creo que sea tan difícil configurar un ASA pero esto es superior a mí. No consigo pasar de la inside a la dmz. Al ingenierio de cisco que lleva el caso lo voy a manda a tomar POR EL CULO. Qué el tio no sea capaz (despues de haberle mandado 5 veces el show run) de resolver esto. Intentaré abrir otra intervención haber si me toca uno que sepa. Por cierto he probado con los comandos de la última respuesta pero NULO, CERO, NADA. Estoy con la moral por los suelos. Muchas gracias por todo.

        • #1545675

          Cerrado

          Hola Pepe, yo tambien tengo el mismo problema...desde…

          Hola Pepe, yo tambien tengo el mismo problema...desde internet si se puede entrar a la DMZ, pero desde el inside no....ando tambien buscando que hacer...a ver si resolviste tu problema porfa dame una mano.

          Saludos

          Jesus

    • #1538668

      Cerrado

      Por si alguien se apiada tb de mí, con el mismo cacharro,…

      Por si alguien se apiada tb de mí, con el mismo cacharro, tengo la dmz configurada una red WIFI, el problema es que alguna gente de esa red tiene que acceder por IPSec a mi ASA, pero no conozco como, con cualquier otra conexión desde el exterior me funciona perfectamente ya que entran por la IP publica y el router dirige el trafico IPSec al ASA, pero si desde la WIFI utilizo el mismo router para salir en el outside del ASA, este no me hace caso de las traslaciones de puertos IPSec.

      Un consejo por favor.

    • #1547550

      Cerrado

      Por un modico precio te lo arreglo y dejo fino, jeje como se…

      Por un modico precio te lo arreglo y dejo fino, jeje como se nota que curro de freelance.

    • #1558347

      Cerrado

      Bueno, no se esto le sirva a alguien, en mi caso me sirvió,…

      Bueno, no se esto le sirva a alguien, en mi caso me sirvió, para poder conectarme desde mi inside a la DMZ, ya que sólo se podia ver el DMZ desde afuera. Tuve un troubleshoting con un fulano de cisco, y puso esta linea al ASA y funcionó:

      same-security-traffic permit inter-interface

      Con esto se podia navegar desde la inside a la DMZ.

      • #1560030

        Cerrado

        ese comando solo te vale si tienes el nivel de seguridad…

        ese comando solo te vale si tienes el nivel de seguridad igual en los dos interfaces, ademas de eso debes de teclear el "no nat-control" para obligar al firewall a pasar trafico no nateado y clsificarlo en base a las cabeceras y no a los nat como hace normalmente, de todos modos, si tienes ue administrar un ASA y estas con estos problemillas te recomiendo que te hagas el snpa de cisco.

        Un saludo.

    • #1578795

      Cerrado

      Me parece que has complicado mucho el tema del nateo, prueba…

      Me parece que has complicado mucho el tema del nateo, prueba con esto:

      nat (inside) 1 0.0.0.0 0.0.0.0
      nat (dmz) 1 0.0.0.0 0.0.0.0
      static (inside,dmz) 192.168.2.0 192.168.2.0 netmask 255.255.255.0

      y a ver si hay suerte.

    • #1579312

      Cerrado

      Me he revisado tu configuracion, tienes mal esto,…

      Me he revisado tu configuracion, tienes mal esto,

      access-group inside_access_out out interface inside

      el comando correcto es:

      access-group inside_access_out in interface inside

      Con eso debes llegar a tu dmz,

      Por cierto, lo que se comenta en el post anterior que se refiere a los comandos:

      nat (inside) 1 0.0.0.0 0.0.0.0
      nat (dmz) 1 0.0.0.0 0.0.0.0

      No vale para nada si no hay un global asociado al Nat 1, si lo que quieres es no hacer nat debes hacerlo de la siguiente manera:

      nat (inside) 0 0
      nat (dmz) 0 0
      no nat-control

      Esto hace que lo que venga con origen Interface inside o Dmz no se use la clasificacion con nat que hacen cisco para definir donde va el trafico, prueba y nos comentas si se arregla con el cambio de sentido del access-group

      Un saludo

      • #1579351

        Cerrado

        Aun asi esta mal definido, un "no nat" se hace como comento…

        Aun asi esta mal definido, un "no nat" se hace como comento en mi post anterior, ya que con el ID 0 se asume que es para no nat y no se necesita el global, a ver que nos cuenta este hombre, he revisado la config completa, en la access-list que tienes filtrando el trafico entre el interface inside y la dmz solo permites el trafico icmp, recordarte que los firewall incluyen una access-list implicita que deniega todo y que aunque no la veas existe, por lo que debes incluir en esa access-list el trafico que quieres cursar por ella, si tienes cualquier duda sobre esto, posteala.

        Un saludo.