Реально перенести конфиг с PIX515 на ASA 5510, менее геморойно, чем все заново руками набивать? И еще вопрос мэнэжмент интерфейс такой же по функциональности, как и изернет?
» Настройка Cisco PIX Firewall / ASA
slut
Цитата:
Ничего непонял, ну конвертнул я получил текстовый файл и чего с ним делать на ASA?
И еще скажите почему интерфейс мэнэжмент неможет быть в одной подсети с изернетом или так и задумано спецами из циски?
Цитата:
Vic
Есть специальная тулза, PIX to ASA Migration tool
Ничего непонял, ну конвертнул я получил текстовый файл и чего с ним делать на ASA?
И еще скажите почему интерфейс мэнэжмент неможет быть в одной подсети с изернетом или так и задумано спецами из циски?
Сорри, если это тут ОФФ, но больше вроде и негде спросить, а новую тему создавать будет через чур.
В общем есть проблема с ASA 5505 после обновления с 7.2(3) до 8.2(1).
Обновилась, работает, но теперь на неё не получается попасть по https
Типа https://ciscoasa/ - раньше она предлагала оттуда установить ASDM или запустить его прям из браузера.
А сейчас, при попытке туда зайти, Firefox говорит "Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования.
(Код ошибки: ssl_error_no_cypher_overlap)", IE вообще тупо говорит ничего не могу открыть, Safari тоже ничего не говорит.
В принципе нашел описание подобной штуки вот тут
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_item09186a00805b87d8.shtml#encrypmismatch
но вообще не понял что там предлагают удалить
Помогите, пожалуйста! Как починить?
В общем есть проблема с ASA 5505 после обновления с 7.2(3) до 8.2(1).
Обновилась, работает, но теперь на неё не получается попасть по https
Типа https://ciscoasa/ - раньше она предлагала оттуда установить ASDM или запустить его прям из браузера.
А сейчас, при попытке туда зайти, Firefox говорит "Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования.
(Код ошибки: ssl_error_no_cypher_overlap)", IE вообще тупо говорит ничего не могу открыть, Safari тоже ничего не говорит.
В принципе нашел описание подобной штуки вот тут
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_item09186a00805b87d8.shtml#encrypmismatch
но вообще не понял что там предлагают удалить
Помогите, пожалуйста! Как починить?
Vic
ASA это устройство безопасности и даже Ваша локальная сеть может быть опасной, по неосторожности или туда всеже проникнут злоумышленники. Поэтому еще одним барьером должно стать данное разделение( те в сеть управления могут попасть только определенные пользователи)
kerpal
Вообще CSC это Content Security Control в статье предлогается почистить его кэш, вы обновили только бутовый образ ? ASDM обновляли ?
Сам не сталкивался с таким... попробуйте почистить временные файлы, кэш ссл.
ASA это устройство безопасности и даже Ваша локальная сеть может быть опасной, по неосторожности или туда всеже проникнут злоумышленники. Поэтому еще одним барьером должно стать данное разделение( те в сеть управления могут попасть только определенные пользователи)
kerpal
Вообще CSC это Content Security Control в статье предлогается почистить его кэш, вы обновили только бутовый образ ? ASDM обновляли ?
Сам не сталкивался с таким... попробуйте почистить временные файлы, кэш ссл.
kerpal
что показывает
sh run all ssl ?
попробуйте команду
ssl encryption 3des-sha1 des-sha1 rc4-md5 aes128-sha1 aes256-sha1
что показывает
sh run all ssl ?
попробуйте команду
ssl encryption 3des-sha1 des-sha1 rc4-md5 aes128-sha1 aes256-sha1
Sterh84
Цитата:
Обновлял и ASDM до 6.3.3
Цитата:
Подскажите как это сделать.
ESX091
Код:
ciscoasa# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1
Цитата:
Вообще CSC это Content Security Control в статье предлогается почистить его кэш, вы обновили только бутовый образ ? ASDM обновляли ?
Обновлял и ASDM до 6.3.3
Цитата:
Сам не сталкивался с таким... попробуйте почистить временные файлы, кэш ссл.
Подскажите как это сделать.
ESX091
Код:
ciscoasa# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1
=) рад, что помог.
обновляется софт так... потом приходится ручками подправлять.
обновляется софт так... потом приходится ручками подправлять.
Так что никто конфигу неперегонял с PIX-a на ASA?
Может ли один VPN-клинет получить доступ ко второму VPN-клиенту ?
Если Да то какие нужны дополнительные настройки ?
При попытке пропинговать соседний VPN получаю следующую ошибку
Sep 28 2010 16:16:06: %ASA-6-109025: Authorization denied (acl=#ACSACL#-IP-itt_dacl-4c5a7ec6) for user 'atmtest2' from x.x.255.251/768 to x.x.245.225/0 on interface vpngate531 using ICMP
# show uauth
ipsec user 'atmtest2' at x.x.x.251, authenticated
access-list #ACSACL#-IP-monitoring-4ca1ebfa (*)
На компах CISCO VPN Client
ASA 5540 работает в связке с CSAS
Сплиттунелиг и листы доступа настроены ,к другим устройствам сети VPN-клиенты получают доступ без проблем
Если Да то какие нужны дополнительные настройки ?
При попытке пропинговать соседний VPN получаю следующую ошибку
Sep 28 2010 16:16:06: %ASA-6-109025: Authorization denied (acl=#ACSACL#-IP-itt_dacl-4c5a7ec6) for user 'atmtest2' from x.x.255.251/768 to x.x.245.225/0 on interface vpngate531 using ICMP
# show uauth
ipsec user 'atmtest2' at x.x.x.251, authenticated
access-list #ACSACL#-IP-monitoring-4ca1ebfa (*)
На компах CISCO VPN Client
ASA 5540 работает в связке с CSAS
Сплиттунелиг и листы доступа настроены ,к другим устройствам сети VPN-клиенты получают доступ без проблем
Vic
вручную перегонялось и не раз.
Elric72
покажите split-tunnel acl и address pool
вручную перегонялось и не раз.
Elric72
покажите split-tunnel acl и address pool
ESX091
Цитата:
это как ручками все правила набивал?
Цитата:
вручную перегонялось и не раз.
это как ручками все правила набивал?
Цитата:
Elric72
покажите split-tunnel acl и address pool
на Группе которая хочет видеть соседнюю
permit icmp host x.x.255.251 x.x.244.0 255.255.252.0
permit icmp host x.x.255.251 x.x.254.0 255.255.254.0
deny ip any any log informational interval 5
на соседней которую надо пинговать
permit icmp x.x.244.0 255.255.252.0 host x.x.255.251
...........................................................
deny ip any any log informational interval 5
Как такового пула нет на ASA нет - IP адреса выдаются SACS (прописаны на каждом пользовале индивидуально)
ACL соотвественно тоже берутся с SACS
Помогайте нифига понять немогу, в правило вношу машину с нестандартным портом, т.е. которого нет в списке в ASA, и это правило неработает, никто несталкивался с таким, соседние машины и по http и smtp работают, а работоспособности машины с нестандартным портом добится немогу
Все с предыдущим разобрался, скажите как на PIX-е очистить конфигурацию, типа ставить все с нуля?
Vic
Цитата:
ручками весь конфиг, а не только правила
Цитата:
conf t
clear config all
wr
Elric72
у меня на асе не получилось сделать, чтобы пользователи из одной tunnel-group могли общаться между собой. правда времени было немного.
если у кого такое реализовано - поделитесь =)
как будет время - посмотрю, можно ли реализовать такой вариант - remote-users распределить по нескольким группам, чтобы они могли общаться между собой.
другой вариант, который точно работал - это использование маршрутизатора в качестве EZVPN сервера.
а какая задача - может получится ее решить другими способами?
Цитата:
это как ручками все правила набивал?
ручками весь конфиг, а не только правила
Цитата:
Все с предыдущим разобрался, скажите как на PIX-е очистить конфигурацию, типа ставить все с нуля?
conf t
clear config all
wr
Elric72
у меня на асе не получилось сделать, чтобы пользователи из одной tunnel-group могли общаться между собой. правда времени было немного.
если у кого такое реализовано - поделитесь =)
как будет время - посмотрю, можно ли реализовать такой вариант - remote-users распределить по нескольким группам, чтобы они могли общаться между собой.
другой вариант, который точно работал - это использование маршрутизатора в качестве EZVPN сервера.
а какая задача - может получится ее решить другими способами?
Добр день.
Есть asa5510
Есть 1 опубликованный веб сервер
Лезут и лезут снаружи сервер всячески "пощупать"
Можно ли установить максимальное колво outside соединение с одного ip?
Есть asa5510
Есть 1 опубликованный веб сервер
Лезут и лезут снаружи сервер всячески "пощупать"
Можно ли установить максимальное колво outside соединение с одного ip?
Добрый день. Балуюсь с ASA 5510 Bun -8k. Пытаюсь ввести компьютор находящийся за интерфейсом outsaide в домен находящийся за insaide интерфейсом. На компе могу подключить сетевые ресурсы контроллера домена, а вот комп включить в домен ни как не получается. Контроллер домена пробрасываю в outside статикой. Также статикой пробрасываю комп в inside. В фаерволе на интерфейсах insaide и outside разрешены ходнения всех ко всем ip. Возможно ли это в принципе? Если да то, что еще надо добавить.
zubastiy
можно через static nat или mpf (команда set connections)
можно через static nat или mpf (команда set connections)
asa5505, OS 8.2.3
при команде
show switch mac-
валится в корку. есть ещё у кого нить такой глюк?
при команде
show switch mac-
валится в корку. есть ещё у кого нить такой глюк?
Ээх. А ткнуть носом и сказать, что широковещательный запрос при включение компа в домен рубится АСой. Что нафиг статический нат, если в качестве щлюзов для компа и домена указанны соответствующие ИП АСы. Около 10 разных юдп и тср портов надо открыть для взаимодействия в AD. А еще, что есть волшебный файл lmhosts на компе, в который надо прописать ИП контроллера домена и имя домена. И плиз заходите в домен.
Очень нужна помощь! Братцы, поможите)
Всем доброго дня!
пару дней бьюсь над cisco asa5505
не скажу что я ламер, настраивал их много и удачно, однако то ли глаз замылился, то ли железка кривая, то ли я окривел"!
вот и нужна ваша помощь.
ситуация такая:
стоит и работает в офисе cisco pix 501, но его надо заменить на cisco asa5505 (yt спрашивайте почему, просто очень надо)
так вот, на 501 все работает супер гуд не первый год
достаю из коробки новую асу 5505 (based) настраиваю ее как обычно, и все, привет, никуда не ходиться ничего не пингуется, не понимаю в чем дело.
даже гейт прова не пингуется, вообще как будто мертвая.
ниже конфиг, может я чего то пропускаю, может кто трезвым глазом взглянет и увидит где там ошибка закралась (буду очень признателен и благодарен) Надо что бы весь офис просто тупо мог ходить для начала в инет, без ограничений, IP от прова только один:
: Saved
:
ASA Version 8.2(1)
!
hostname ciscoasa
enable password hnNEanz66BtnY3vl encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.3.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address x12.1xx.137.120 255.0.0.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit udp any any
access-list inside_access_in extended permit icmp any any
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit ip any any
access-list outside_access_in extended permit udp any any
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 xxx.1xx.137.97 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.3.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.3.5-192.168.3.36 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:73abd09b541d693dd380316b2a8fe53d
: end
no asdm history enable
Всем доброго дня!
пару дней бьюсь над cisco asa5505
не скажу что я ламер, настраивал их много и удачно, однако то ли глаз замылился, то ли железка кривая, то ли я окривел"!
вот и нужна ваша помощь.
ситуация такая:
стоит и работает в офисе cisco pix 501, но его надо заменить на cisco asa5505 (yt спрашивайте почему, просто очень надо)
так вот, на 501 все работает супер гуд не первый год
достаю из коробки новую асу 5505 (based) настраиваю ее как обычно, и все, привет, никуда не ходиться ничего не пингуется, не понимаю в чем дело.
даже гейт прова не пингуется, вообще как будто мертвая.
ниже конфиг, может я чего то пропускаю, может кто трезвым глазом взглянет и увидит где там ошибка закралась (буду очень признателен и благодарен) Надо что бы весь офис просто тупо мог ходить для начала в инет, без ограничений, IP от прова только один:
: Saved
:
ASA Version 8.2(1)
!
hostname ciscoasa
enable password hnNEanz66BtnY3vl encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.3.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address x12.1xx.137.120 255.0.0.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit udp any any
access-list inside_access_in extended permit icmp any any
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit ip any any
access-list outside_access_in extended permit udp any any
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 xxx.1xx.137.97 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.3.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.3.5-192.168.3.36 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:73abd09b541d693dd380316b2a8fe53d
: end
no asdm history enable
akaAmigos
Цитата:
а свои интерфейсы пинговать можете?
Добавлено:
Цитата:
скорее всего проблема в маске - 255.0.0.0, если не указывать явно, то аса берет классовую. посмотрите. может в этом дело?
Цитата:
никуда не ходиться ничего не пингуется
а свои интерфейсы пинговать можете?
Добавлено:
Цитата:
interface Vlan2
nameif outside
security-level 0
ip address x12.1xx.137.120 255.0.0.0
!
скорее всего проблема в маске - 255.0.0.0, если не указывать явно, то аса берет классовую. посмотрите. может в этом дело?
ESX091
Цитата:
спасибо за перст указующий.
курил-курил и понял что через статик нат это будет выглядеть так
static (inside,outside) 99.99.99.99 192.168.2.10 netmask 255.255.255.255 tcp 50 250 udp 0
http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/conns_connlimits.html#wpxref80031 - очень интересно чтиво Configuring Connection Limits and Timeouts
на cisco.com действительно есть все, нужно только найти )
Цитата:
zubastiy
можно через static nat или mpf (команда set connections)
спасибо за перст указующий.
курил-курил и понял что через статик нат это будет выглядеть так
static (inside,outside) 99.99.99.99 192.168.2.10 netmask 255.255.255.255 tcp 50 250 udp 0
http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/conns_connlimits.html#wpxref80031 - очень интересно чтиво Configuring Connection Limits and Timeouts
на cisco.com действительно есть все, нужно только найти )
Всем привет, чесная гвардия!
Прошу помощи коллективного разума, ибо я уже сам не вижу, а интернеты мне тоже не особо помогли со своими советами (покапался, не помогло то, что нагуглил).
Есть конфига в которой работает пинг и лдап с хоста в ДМЗ на хост во внутренней сети:
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
names
name 10.1.0.53 Exchange
name 192.168.1.3 ExchangeDMZ
name 192.168.1.2 Relay
name 10.1.0.50 DC
!
interface Ethernet0/0
speed 100
nameif inside
security-level 100
ip address 10.1.0.1 255.255.252.0
!
interface Ethernet0/1
speed 100
duplex full
nameif outside
security-level 0
ip address Х.Х.Х.Х 255.255.255.248
!
interface Ethernet0/2
speed 100
nameif dmz
security-level 99
ip address 192.168.1.20 255.255.255.0
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 172.16.0.1 255.255.255.0
management-only
!
passwd hDeOycCEFnED4dQT encrypted
ftp mode passive
clock timezone Mos 3
clock summer-time Mos recurring last Sun Mar 2:00 last Sun Oct 2:00
dns server-group DefaultDNS
domain-name ngt-m.ru
object-group network banks
network-object host 212.154.181.74
network-object host 194.84.85.103
network-object host 194.84.85.102
network-object host 213.247.231.5
network-object host 64.12.24.190
network-object host 195.245.76.126
network-object host 81.176.69.62
network-object host 213.208.182.154
network-object host 213.208.182.155
network-object host 213.208.182.156
network-object host 10.21.132.104
network-object host 195.38.22.165
object-group network bank-clients
network-object host 10.1.1.3
network-object host 10.1.1.11
network-object host 10.1.1.8
network-object host 10.1.1.14
network-object host 10.1.1.10
network-object host 10.1.1.20
network-object host 10.1.1.4
object-group service banks-ports tcp
port-object eq ftp
port-object eq 1024
port-object eq 1400
port-object eq aol
port-object eq 1026
port-object eq 7050
port-object eq 2221
port-object eq ftp-data
access-list IN extended permit ip host 10.1.0.52 any
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq aol
access-list IN extended permit icmp any any
access-list IN extended permit tcp object-group bank-clients object-group banks
object-group banks-ports
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq https
access-list IN extended permit tcp host Relay host Exchange eq smtp
access-list IN extended permit tcp host Relay host Exchange eq 26
access-list IN extended permit tcp host Exchange host Relay eq smtp
access-list IN extended permit tcp host Exchange host Relay eq 26
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq isakmp
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq 10000
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq 10000
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq www
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq domain
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq domain
access-list IN extended permit tcp host Relay host 10.1.0.99 eq 3389
access-list IN extended permit tcp host DC any
access-list IN extended permit ip 10.1.244.0 255.255.255.0 any
access-list IN extended permit ip 10.1.243.0 255.255.255.0 any
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq 7777
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq 2106
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq 2107
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq 1777
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq 1777
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq 7777
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq 2106
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq 2107
access-list IN extended permit ip 10.1.0.0 255.255.252.0 any
access-list DMZ extended permit tcp any any eq 26
access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list DMZ extended permit tcp host Relay any eq https
access-list DMZ extended permit tcp any any eq smtp
access-list DMZ extended permit tcp host Exchange host Relay eq 26
access-list DMZ extended permit icmp any any
access-list DMZ extended permit udp 192.168.1.0 255.255.255.0 any eq domain
access-list DMZ extended permit tcp host Exchange host Relay eq smtp
access-list DMZ extended permit tcp host Relay host Exchange eq smtp
access-list DMZ extended permit tcp host Relay any
access-list OUT extended permit icmp any any
access-list OUT extended permit tcp any any eq smtp
access-list OUT extended permit tcp any any eq https
access-list VPNnat extended permit ip 10.1.0.0 255.255.252.0 10.1.243.0 255.255.255.0
access-list VPNnat extended permit ip 10.1.0.0 255.255.252.0 10.1.244.0 255.255.255.0
access-list VPNnat extended permit ip 10.1.0.0 255.255.252.0 10.1.4.0 255.255.252.0
access-list VPNnat extended permit ip 10.1.0.0 255.255.252.0 10.1.5.0 255.255.255.0
access-list VPNnat extended permit ip host DC host Relay
access-list VPNacl extended permit ip 10.1.0.0 255.255.252.0 10.1.243.0 255.255.255.0
access-list 100 extended permit ip 10.1.0.0 255.255.252.0 10.1.4.0 255.255.252.0
access-list 100 extended permit ip 10.1.0.0 255.255.252.0 10.1.5.0 255.255.255.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
mtu management 1500
ip local pool vpnpool 10.1.243.1-10.1.243.50
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 0 access-list VPNnat
nat (inside) 1 10.1.0.0 255.255.252.0
nat (dmz) 1 192.168.1.0 255.255.255.0
static (inside,dmz) tcp ExchangeDMZ smtp Exchange smtp netmask 255.255.255.255
static (inside,outside) tcp interface https Exchange https netmask 255.255.255.255
static (dmz,outside) tcp interface smtp Relay smtp netmask 255.255.255.255
static (dmz,inside) tcp Relay smtp Relay 26 netmask 255.255.255.255
access-group IN in interface inside
access-group OUT in interface outside
access-group DMZ in interface dmz
route outside 0.0.0.0 0.0.0.0 93.191.17.161 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:02:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy ооо internal
group-policy ооо attributes
dns-server value 10.1.0.50
vpn-idle-timeout 30
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPNacl
username ххх password ххх.qXbY encrypted
username ххх attributes
vpn-simultaneous-logins 10
vpn-tunnel-protocol IPSec
http server enable
http 10.1.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec transform-set VPN2SP esp-3des esp-sha-hmac
crypto map outside_map 3 match address 100
crypto map outside_map 3 set peer 89.222.215.188
crypto map outside_map 3 set transform-set VPN2SP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp ipsec-over-tcp port 10000
tunnel-group vpnngt type ipsec-ra
tunnel-group vpnngt general-attributes
address-pool vpnpool
default-group-policy vpnngt
tunnel-group vpnngt ipsec-attributes
pre-shared-key *
tunnel-group 89.222.215.188 type ipsec-l2l
tunnel-group 89.222.215.188 ipsec-attributes
pre-shared-key *
telnet 10.1.1.0 255.255.255.0 inside
telnet 10.1.0.0 255.255.255.0 inside
telnet timeout 60
ssh 10.1.0.0 255.255.252.0 inside
ssh timeout 60
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect http
inspect h323 h225
inspect h323 ras
inspect esmtp
!
service-policy global_policy global
smtp-server 10.1.0.53
prompt hostname context
Cryptochecksum:586fb61b7174400d8a1b5a8f2daa4b86
: end
Не считая мусора тут все норм. ВНИМАНИЕ ВОПРОС! Что не так с НИЖЕ приведенной конфигой, т.к. в совершенно похожем офисе до лдапа во внутренней сети я добраться не могу Лог пишет "No translation group found for tcp src .."
Не рабочая конфа:
ASA Version 7.0(7)
!
names
name 192.168.1.2 Relay
name 192.168.1.3 ExchangeDMZ
name 10.1.4.53 Exchange
name 10.1.4.56 Proxy
dns-guard
!
interface Ethernet0/0
nameif INSIDE
security-level 100
ip address 10.1.4.1 255.255.252.0
!
interface Ethernet0/1
nameif OUTSIDE
security-level 0
ip address Х.Х.Х.Х 255.255.255.248
!
interface Ethernet0/2
nameif DMZ
security-level 99
ip address 192.168.1.20 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 172.16.0.1 255.255.0.0
management-only
!
passwd iRoRTstHM4j7ihQZ encrypted
ftp mode passive
object-group network banks
network-object host 194.84.85.102
network-object host 194.84.85.103
network-object host 195.161.113.85
network-object host 81.177.14.202
network-object host 195.38.22.165
object-group network bank-clients
network-object host 10.1.5.13
network-object host 10.1.5.16
network-object host 10.1.4.44
object-group service bank-ports tcp
port-object eq ftp
port-object eq 1024
port-object eq 1400
port-object eq pop3
port-object eq smtp
object-group network PchSrv
network-object host 10.1.0.50
network-object host 10.1.0.52
network-object host 10.1.0.46
network-object host 10.1.0.53
network-object host 10.1.1.19
object-group network SpSrv
network-object host Exchange
network-object host 10.1.4.52
network-object host 10.1.4.46
network-object host 10.1.4.55
access-list IN extended permit tcp host Relay host Exchange eq 26
access-list IN extended permit tcp host Exchange host Relay eq smtp
access-list IN extended permit tcp host Relay host Exchange eq smtp
access-list IN extended permit icmp any any
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq domain
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq domain
access-list IN extended permit tcp object-group bank-clients object-group banks object-group bank-ports
access-list IN extended permit ip 10.1.244.0 255.255.255.0 10.1.4.0 255.255.252.0
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq aol
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq https
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq 10000
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 host Relay
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq ftp
access-list IN extended permit ip object-group SpSrv object-group PchSrv
access-list IN extended permit ip object-group SpSrv any
access-list IN extended permit tcp host 10.1.5.4 any
access-list IN extended permit ip host 10.1.5.4 any
access-list IN extended permit udp host 10.1.5.4 any
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq ntp
access-list IN extended permit tcp host Proxy any
access-list IN extended permit ip host Proxy any
access-list IN extended permit udp host Proxy any
access-list IN extended permit ip 10.1.4.0 255.255.252.0 object-group PchSrv
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq isakmp
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 10000
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq 7777
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 7777
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq 1777
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 1777
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq 2107
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 2107
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq 2106
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 2106
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 389
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq ldap
access-list IN extended permit ip 10.1.4.0 255.255.252.0 any
access-list IN extended permit tcp host 10.1.4.52 any
access-list OUT extended permit icmp any any
access-list OUT extended permit tcp any any eq smtp
access-list OUT extended permit tcp any any eq https
access-list OUT extended permit tcp any any eq imap4
access-list OUT extended permit tcp any any eq 993
access-list DMZ extended permit icmp any any
access-list DMZ extended permit tcp any any eq 26
access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any eq www
access-list DMZ extended permit tcp host Relay any eq https
access-list DMZ extended permit tcp any any eq smtp
access-list DMZ extended permit tcp host Exchange host Relay eq 26
access-list DMZ extended permit udp 192.168.1.0 255.255.255.0 any eq domain
access-list DMZ extended permit tcp host Exchange host Relay eq smtp
access-list DMZ extended permit tcp host Relay host ExchangeDMZ eq smtp
access-list DMZ extended permit tcp host Relay any
access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any eq ldap
access-list DMZ extended permit tcp host Relay host Exchange eq smtp
access-list VPNnat extended permit ip 10.1.4.0 255.255.252.0 10.1.244.0 255.255.255.0
access-list VPNnat extended permit ip 10.1.4.0 255.255.252.0 10.1.0.0 255.255.252.0
access-list VPNnat extended permit ip 10.1.5.0 255.255.255.0 10.1.0.0 255.255.252.0
access-list 100 extended permit ip 10.1.4.0 255.255.252.0 10.1.0.0 255.255.252.0
access-list 100 extended permit ip 10.1.5.0 255.255.255.0 10.1.0.0 255.255.252.0
access-list VPNacl extended permit ip 10.1.4.0 255.255.252.0 10.1.244.0 255.255.255.0
pager lines 24
logging asdm informational
mtu INSIDE 1500
mtu OUTSIDE 1500
mtu DMZ 1500
mtu management 1500
ip local pool VPNpool 10.1.244.1-10.1.244.50 mask 255.255.255.0
asdm image disk0:/asdm-507.bin
no asdm history enable
arp timeout 14400
global (OUTSIDE) 1 interface
global (DMZ) 1 interface
nat (INSIDE) 0 access-list VPNnat
nat (INSIDE) 1 10.1.4.0 255.255.252.0
nat (INSIDE) 1 10.1.0.0 255.255.0.0
nat (DMZ) 1 192.168.1.0 255.255.255.0
static (INSIDE,OUTSIDE) tcp interface 3389 10.1.4.50 3389 netmask 255.255.255.255
static (INSIDE,DMZ) tcp ExchangeDMZ smtp Exchange smtp netmask 255.255.255.255
static (DMZ,OUTSIDE) tcp interface smtp Relay smtp netmask 255.255.255.255
static (INSIDE,OUTSIDE) tcp interface https Exchange https netmask 255.255.255.255
static (DMZ,INSIDE) tcp Relay smtp Relay 26 netmask 255.255.255.255
static (INSIDE,OUTSIDE) tcp interface imap4 Exchange imap4 netmask 255.255.255.255
static (INSIDE,OUTSIDE) tcp interface 993 Exchange 993 netmask 255.255.255.255
access-group IN in interface INSIDE
access-group OUT in interface OUTSIDE
access-group DMZ in interface DMZ
route OUTSIDE 0.0.0.0 0.0.0.0 89.222.215.190 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy ооо internal
group-policy ооо attributes
dns-server value 10.1.4.52
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPNacl
webvpn
username ххх password ххх.qXbY encrypted
username ххх attributes
vpn-simultaneous-logins 10
vpn-tunnel-protocol IPSec
webvpn
http server enable
http 10.1.4.0 255.255.252.0 INSIDE
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set VPNtoFilials esp-3des esp-md5-hmac
crypto ipsec transform-set VPNtoOffice esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set VPN2ZNAM esp-3des esp-sha-hmac
crypto dynamic-map vpn-client 6 set transform-set VPNtoOffice
crypto map map2 3 match address 100
crypto map map2 3 set peer 93.191.17.162
crypto map map2 3 set transform-set VPN2ZNAM
crypto map map2 65535 ipsec-isakmp dynamic vpn-client
crypto map map2 interface OUTSIDE
isakmp identity address
isakmp enable OUTSIDE
isakmp policy 4 authentication pre-share
isakmp policy 4 encryption 3des
isakmp policy 4 hash sha
isakmp policy 4 group 2
isakmp policy 4 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
isakmp ipsec-over-tcp port 10000
tunnel-group 93.191.17.162 type ipsec-l2l
tunnel-group 93.191.17.162 ipsec-attributes
pre-shared-key *
tunnel-group vpnmechanicus type ipsec-ra
tunnel-group vpnmechanicus general-attributes
address-pool VPNpool
default-group-policy vpnmechanicus
tunnel-group vpnmechanicus ipsec-attributes
pre-shared-key *
telnet timeout 60
ssh 10.1.4.0 255.255.252.0 INSIDE
ssh 93.191.17.160 255.255.255.248 OUTSIDE
ssh 93.191.17.0 255.255.255.0 OUTSIDE
ssh timeout 60
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect esmtp
!
service-policy global_policy global
smtp-server 10.1.4.53
Cryptochecksum:4e4e704e48b63f24e1362684d879e47b
: end
Я прошу прощения за длинный конфиг, просто не знаю как тут в сворачивающийся блок вставлять текст.
Заранее благодарен за помощь.
Прошу помощи коллективного разума, ибо я уже сам не вижу, а интернеты мне тоже не особо помогли со своими советами (покапался, не помогло то, что нагуглил).
Есть конфига в которой работает пинг и лдап с хоста в ДМЗ на хост во внутренней сети:
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
names
name 10.1.0.53 Exchange
name 192.168.1.3 ExchangeDMZ
name 192.168.1.2 Relay
name 10.1.0.50 DC
!
interface Ethernet0/0
speed 100
nameif inside
security-level 100
ip address 10.1.0.1 255.255.252.0
!
interface Ethernet0/1
speed 100
duplex full
nameif outside
security-level 0
ip address Х.Х.Х.Х 255.255.255.248
!
interface Ethernet0/2
speed 100
nameif dmz
security-level 99
ip address 192.168.1.20 255.255.255.0
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 172.16.0.1 255.255.255.0
management-only
!
passwd hDeOycCEFnED4dQT encrypted
ftp mode passive
clock timezone Mos 3
clock summer-time Mos recurring last Sun Mar 2:00 last Sun Oct 2:00
dns server-group DefaultDNS
domain-name ngt-m.ru
object-group network banks
network-object host 212.154.181.74
network-object host 194.84.85.103
network-object host 194.84.85.102
network-object host 213.247.231.5
network-object host 64.12.24.190
network-object host 195.245.76.126
network-object host 81.176.69.62
network-object host 213.208.182.154
network-object host 213.208.182.155
network-object host 213.208.182.156
network-object host 10.21.132.104
network-object host 195.38.22.165
object-group network bank-clients
network-object host 10.1.1.3
network-object host 10.1.1.11
network-object host 10.1.1.8
network-object host 10.1.1.14
network-object host 10.1.1.10
network-object host 10.1.1.20
network-object host 10.1.1.4
object-group service banks-ports tcp
port-object eq ftp
port-object eq 1024
port-object eq 1400
port-object eq aol
port-object eq 1026
port-object eq 7050
port-object eq 2221
port-object eq ftp-data
access-list IN extended permit ip host 10.1.0.52 any
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq aol
access-list IN extended permit icmp any any
access-list IN extended permit tcp object-group bank-clients object-group banks
object-group banks-ports
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq https
access-list IN extended permit tcp host Relay host Exchange eq smtp
access-list IN extended permit tcp host Relay host Exchange eq 26
access-list IN extended permit tcp host Exchange host Relay eq smtp
access-list IN extended permit tcp host Exchange host Relay eq 26
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq isakmp
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq 10000
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq 10000
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq www
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq domain
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq domain
access-list IN extended permit tcp host Relay host 10.1.0.99 eq 3389
access-list IN extended permit tcp host DC any
access-list IN extended permit ip 10.1.244.0 255.255.255.0 any
access-list IN extended permit ip 10.1.243.0 255.255.255.0 any
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq 7777
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq 2106
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq 2107
access-list IN extended permit tcp 10.1.0.0 255.255.252.0 any eq 1777
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq 1777
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq 7777
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq 2106
access-list IN extended permit udp 10.1.0.0 255.255.252.0 any eq 2107
access-list IN extended permit ip 10.1.0.0 255.255.252.0 any
access-list DMZ extended permit tcp any any eq 26
access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list DMZ extended permit tcp host Relay any eq https
access-list DMZ extended permit tcp any any eq smtp
access-list DMZ extended permit tcp host Exchange host Relay eq 26
access-list DMZ extended permit icmp any any
access-list DMZ extended permit udp 192.168.1.0 255.255.255.0 any eq domain
access-list DMZ extended permit tcp host Exchange host Relay eq smtp
access-list DMZ extended permit tcp host Relay host Exchange eq smtp
access-list DMZ extended permit tcp host Relay any
access-list OUT extended permit icmp any any
access-list OUT extended permit tcp any any eq smtp
access-list OUT extended permit tcp any any eq https
access-list VPNnat extended permit ip 10.1.0.0 255.255.252.0 10.1.243.0 255.255.255.0
access-list VPNnat extended permit ip 10.1.0.0 255.255.252.0 10.1.244.0 255.255.255.0
access-list VPNnat extended permit ip 10.1.0.0 255.255.252.0 10.1.4.0 255.255.252.0
access-list VPNnat extended permit ip 10.1.0.0 255.255.252.0 10.1.5.0 255.255.255.0
access-list VPNnat extended permit ip host DC host Relay
access-list VPNacl extended permit ip 10.1.0.0 255.255.252.0 10.1.243.0 255.255.255.0
access-list 100 extended permit ip 10.1.0.0 255.255.252.0 10.1.4.0 255.255.252.0
access-list 100 extended permit ip 10.1.0.0 255.255.252.0 10.1.5.0 255.255.255.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
mtu management 1500
ip local pool vpnpool 10.1.243.1-10.1.243.50
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 0 access-list VPNnat
nat (inside) 1 10.1.0.0 255.255.252.0
nat (dmz) 1 192.168.1.0 255.255.255.0
static (inside,dmz) tcp ExchangeDMZ smtp Exchange smtp netmask 255.255.255.255
static (inside,outside) tcp interface https Exchange https netmask 255.255.255.255
static (dmz,outside) tcp interface smtp Relay smtp netmask 255.255.255.255
static (dmz,inside) tcp Relay smtp Relay 26 netmask 255.255.255.255
access-group IN in interface inside
access-group OUT in interface outside
access-group DMZ in interface dmz
route outside 0.0.0.0 0.0.0.0 93.191.17.161 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:02:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy ооо internal
group-policy ооо attributes
dns-server value 10.1.0.50
vpn-idle-timeout 30
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPNacl
username ххх password ххх.qXbY encrypted
username ххх attributes
vpn-simultaneous-logins 10
vpn-tunnel-protocol IPSec
http server enable
http 10.1.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec transform-set VPN2SP esp-3des esp-sha-hmac
crypto map outside_map 3 match address 100
crypto map outside_map 3 set peer 89.222.215.188
crypto map outside_map 3 set transform-set VPN2SP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp ipsec-over-tcp port 10000
tunnel-group vpnngt type ipsec-ra
tunnel-group vpnngt general-attributes
address-pool vpnpool
default-group-policy vpnngt
tunnel-group vpnngt ipsec-attributes
pre-shared-key *
tunnel-group 89.222.215.188 type ipsec-l2l
tunnel-group 89.222.215.188 ipsec-attributes
pre-shared-key *
telnet 10.1.1.0 255.255.255.0 inside
telnet 10.1.0.0 255.255.255.0 inside
telnet timeout 60
ssh 10.1.0.0 255.255.252.0 inside
ssh timeout 60
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect http
inspect h323 h225
inspect h323 ras
inspect esmtp
!
service-policy global_policy global
smtp-server 10.1.0.53
prompt hostname context
Cryptochecksum:586fb61b7174400d8a1b5a8f2daa4b86
: end
Не считая мусора тут все норм. ВНИМАНИЕ ВОПРОС! Что не так с НИЖЕ приведенной конфигой, т.к. в совершенно похожем офисе до лдапа во внутренней сети я добраться не могу Лог пишет "No translation group found for tcp src .."
Не рабочая конфа:
ASA Version 7.0(7)
!
names
name 192.168.1.2 Relay
name 192.168.1.3 ExchangeDMZ
name 10.1.4.53 Exchange
name 10.1.4.56 Proxy
dns-guard
!
interface Ethernet0/0
nameif INSIDE
security-level 100
ip address 10.1.4.1 255.255.252.0
!
interface Ethernet0/1
nameif OUTSIDE
security-level 0
ip address Х.Х.Х.Х 255.255.255.248
!
interface Ethernet0/2
nameif DMZ
security-level 99
ip address 192.168.1.20 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 172.16.0.1 255.255.0.0
management-only
!
passwd iRoRTstHM4j7ihQZ encrypted
ftp mode passive
object-group network banks
network-object host 194.84.85.102
network-object host 194.84.85.103
network-object host 195.161.113.85
network-object host 81.177.14.202
network-object host 195.38.22.165
object-group network bank-clients
network-object host 10.1.5.13
network-object host 10.1.5.16
network-object host 10.1.4.44
object-group service bank-ports tcp
port-object eq ftp
port-object eq 1024
port-object eq 1400
port-object eq pop3
port-object eq smtp
object-group network PchSrv
network-object host 10.1.0.50
network-object host 10.1.0.52
network-object host 10.1.0.46
network-object host 10.1.0.53
network-object host 10.1.1.19
object-group network SpSrv
network-object host Exchange
network-object host 10.1.4.52
network-object host 10.1.4.46
network-object host 10.1.4.55
access-list IN extended permit tcp host Relay host Exchange eq 26
access-list IN extended permit tcp host Exchange host Relay eq smtp
access-list IN extended permit tcp host Relay host Exchange eq smtp
access-list IN extended permit icmp any any
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq domain
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq domain
access-list IN extended permit tcp object-group bank-clients object-group banks object-group bank-ports
access-list IN extended permit ip 10.1.244.0 255.255.255.0 10.1.4.0 255.255.252.0
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq aol
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq https
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq 10000
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 host Relay
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq ftp
access-list IN extended permit ip object-group SpSrv object-group PchSrv
access-list IN extended permit ip object-group SpSrv any
access-list IN extended permit tcp host 10.1.5.4 any
access-list IN extended permit ip host 10.1.5.4 any
access-list IN extended permit udp host 10.1.5.4 any
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq ntp
access-list IN extended permit tcp host Proxy any
access-list IN extended permit ip host Proxy any
access-list IN extended permit udp host Proxy any
access-list IN extended permit ip 10.1.4.0 255.255.252.0 object-group PchSrv
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq isakmp
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 10000
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq 7777
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 7777
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq 1777
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 1777
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq 2107
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 2107
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq 2106
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 2106
access-list IN extended permit udp 10.1.4.0 255.255.252.0 any eq 389
access-list IN extended permit tcp 10.1.4.0 255.255.252.0 any eq ldap
access-list IN extended permit ip 10.1.4.0 255.255.252.0 any
access-list IN extended permit tcp host 10.1.4.52 any
access-list OUT extended permit icmp any any
access-list OUT extended permit tcp any any eq smtp
access-list OUT extended permit tcp any any eq https
access-list OUT extended permit tcp any any eq imap4
access-list OUT extended permit tcp any any eq 993
access-list DMZ extended permit icmp any any
access-list DMZ extended permit tcp any any eq 26
access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any eq www
access-list DMZ extended permit tcp host Relay any eq https
access-list DMZ extended permit tcp any any eq smtp
access-list DMZ extended permit tcp host Exchange host Relay eq 26
access-list DMZ extended permit udp 192.168.1.0 255.255.255.0 any eq domain
access-list DMZ extended permit tcp host Exchange host Relay eq smtp
access-list DMZ extended permit tcp host Relay host ExchangeDMZ eq smtp
access-list DMZ extended permit tcp host Relay any
access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any eq ldap
access-list DMZ extended permit tcp host Relay host Exchange eq smtp
access-list VPNnat extended permit ip 10.1.4.0 255.255.252.0 10.1.244.0 255.255.255.0
access-list VPNnat extended permit ip 10.1.4.0 255.255.252.0 10.1.0.0 255.255.252.0
access-list VPNnat extended permit ip 10.1.5.0 255.255.255.0 10.1.0.0 255.255.252.0
access-list 100 extended permit ip 10.1.4.0 255.255.252.0 10.1.0.0 255.255.252.0
access-list 100 extended permit ip 10.1.5.0 255.255.255.0 10.1.0.0 255.255.252.0
access-list VPNacl extended permit ip 10.1.4.0 255.255.252.0 10.1.244.0 255.255.255.0
pager lines 24
logging asdm informational
mtu INSIDE 1500
mtu OUTSIDE 1500
mtu DMZ 1500
mtu management 1500
ip local pool VPNpool 10.1.244.1-10.1.244.50 mask 255.255.255.0
asdm image disk0:/asdm-507.bin
no asdm history enable
arp timeout 14400
global (OUTSIDE) 1 interface
global (DMZ) 1 interface
nat (INSIDE) 0 access-list VPNnat
nat (INSIDE) 1 10.1.4.0 255.255.252.0
nat (INSIDE) 1 10.1.0.0 255.255.0.0
nat (DMZ) 1 192.168.1.0 255.255.255.0
static (INSIDE,OUTSIDE) tcp interface 3389 10.1.4.50 3389 netmask 255.255.255.255
static (INSIDE,DMZ) tcp ExchangeDMZ smtp Exchange smtp netmask 255.255.255.255
static (DMZ,OUTSIDE) tcp interface smtp Relay smtp netmask 255.255.255.255
static (INSIDE,OUTSIDE) tcp interface https Exchange https netmask 255.255.255.255
static (DMZ,INSIDE) tcp Relay smtp Relay 26 netmask 255.255.255.255
static (INSIDE,OUTSIDE) tcp interface imap4 Exchange imap4 netmask 255.255.255.255
static (INSIDE,OUTSIDE) tcp interface 993 Exchange 993 netmask 255.255.255.255
access-group IN in interface INSIDE
access-group OUT in interface OUTSIDE
access-group DMZ in interface DMZ
route OUTSIDE 0.0.0.0 0.0.0.0 89.222.215.190 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy ооо internal
group-policy ооо attributes
dns-server value 10.1.4.52
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPNacl
webvpn
username ххх password ххх.qXbY encrypted
username ххх attributes
vpn-simultaneous-logins 10
vpn-tunnel-protocol IPSec
webvpn
http server enable
http 10.1.4.0 255.255.252.0 INSIDE
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set VPNtoFilials esp-3des esp-md5-hmac
crypto ipsec transform-set VPNtoOffice esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set VPN2ZNAM esp-3des esp-sha-hmac
crypto dynamic-map vpn-client 6 set transform-set VPNtoOffice
crypto map map2 3 match address 100
crypto map map2 3 set peer 93.191.17.162
crypto map map2 3 set transform-set VPN2ZNAM
crypto map map2 65535 ipsec-isakmp dynamic vpn-client
crypto map map2 interface OUTSIDE
isakmp identity address
isakmp enable OUTSIDE
isakmp policy 4 authentication pre-share
isakmp policy 4 encryption 3des
isakmp policy 4 hash sha
isakmp policy 4 group 2
isakmp policy 4 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
isakmp ipsec-over-tcp port 10000
tunnel-group 93.191.17.162 type ipsec-l2l
tunnel-group 93.191.17.162 ipsec-attributes
pre-shared-key *
tunnel-group vpnmechanicus type ipsec-ra
tunnel-group vpnmechanicus general-attributes
address-pool VPNpool
default-group-policy vpnmechanicus
tunnel-group vpnmechanicus ipsec-attributes
pre-shared-key *
telnet timeout 60
ssh 10.1.4.0 255.255.252.0 INSIDE
ssh 93.191.17.160 255.255.255.248 OUTSIDE
ssh 93.191.17.0 255.255.255.0 OUTSIDE
ssh timeout 60
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect esmtp
!
service-policy global_policy global
smtp-server 10.1.4.53
Cryptochecksum:4e4e704e48b63f24e1362684d879e47b
: end
Я прошу прощения за длинный конфиг, просто не знаю как тут в сворачивающийся блок вставлять текст.
Заранее благодарен за помощь.
Wisard
уточнили бы что именно делаете (с какого хоста, какого интерфейса куда, какой протокол).
что в одном случае работает, а в другом нет.
если хотите, чтобы помогли, выкинули бы из конфигов все лишнее и привели их в порядок, чтобы проще было читать.
p.s если скрываете внешний адрес асы, не забывайте убирать и шлюз.
уточнили бы что именно делаете (с какого хоста, какого интерфейса куда, какой протокол).
что в одном случае работает, а в другом нет.
если хотите, чтобы помогли, выкинули бы из конфигов все лишнее и привели их в порядок, чтобы проще было читать.
p.s если скрываете внешний адрес асы, не забывайте убирать и шлюз.
добрый день.
есть ли возможность на 5510 переключить часть портов в режим свича?
курю Cisco ASA 5500 Series Configuration Guide using the CLI, 8.3, возможно не вижу решения.
есть ли возможность на 5510 переключить часть портов в режим свича?
курю Cisco ASA 5500 Series Configuration Guide using the CLI, 8.3, возможно не вижу решения.
zubastiy
int fa0/1
switchport access vlan XXX
no shut
int vlan XXX
ip add aaaa.bbbb.cccc.dddd
nameif inside
no shut
такое не подходит?
int fa0/1
switchport access vlan XXX
no shut
int vlan XXX
ip add aaaa.bbbb.cccc.dddd
nameif inside
no shut
такое не подходит?
ESX091
Цитата:
Не, к сожалению для 5510 не будет работать.
На 5505 все ок, работает.
asa5510# conf t
asa5510(config)# int e0/0
asa5510(config-if)# switchport access vlan 100
^
ERROR: % Invalid input detected at '^' marker.
asa5510(config-if)# s?
interface mode commands/options:
security-level shutdown speed split-horizon
summary-address
configure mode commands/options:
same-security-traffic service service-policy setup
sla smtp-server smtps snmp
snmp-map snmp-server ssh ssl
static sunrpc-server sysopt
exec mode commands/options:
session show shun ssh
*s=show
Цитата:
int fa0/1
switchport access vlan XXX
no shut
int vlan XXX
ip add aaaa.bbbb.cccc.dddd
nameif inside
no shut
такое не подходит?
Не, к сожалению для 5510 не будет работать.
На 5505 все ок, работает.
asa5510# conf t
asa5510(config)# int e0/0
asa5510(config-if)# switchport access vlan 100
^
ERROR: % Invalid input detected at '^' marker.
asa5510(config-if)# s?
interface mode commands/options:
security-level shutdown speed split-horizon
summary-address
configure mode commands/options:
same-security-traffic service service-policy setup
sla smtp-server smtps snmp
snmp-map snmp-server ssh ssl
static sunrpc-server sysopt
exec mode commands/options:
session show shun ssh
*s=show
а если так?
interface gi0/1.100
vlan 100
interface gi0/1.100
vlan 100
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: Как проверить,ушло ли писмо через вингейт на смтп провайдера
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.