» Настройка Cisco PIX Firewall / ASA

Цитата:

это асе скажите =)

вы не совcем верно меня поняли, вот как верно выглядит моя ситуация:

Cisco ASA DMZ ---> Office_LAN - поднялся
Cisco ASA LAN ---> Office_LAN - не поднимается.

Мои сети
Код:
DMZ=172.16.0.0 255.255.255.0
LAN=172.16.1.0 255.255.255.0
Office_LAN=192.168.0.0 255.255.255.0

slech
по тому куску, который присылаете - все ок.
что нужно для разбора полетов - я уже писал.
500 км или 5 тыс км.. какая разница?

Цитата:

а если железка не стартанёт, а если конфиг не подхватится ?

пока такого не было=))) тьфу-тьфу...

ESX091
Ну значит проблема может быть на другой стороне - где Mikrotik.
До этого стоял NetGear и оба тунельчика работали как нужно.

Спасибо.


Цитата:

500 км или 5 тыс км.. какая разница?

в том как быстро мы сумеем добраться до устройства и решить проблему.

Добрый день , наблюдается медленная скорость передачи данных внутри ипсек туннеля на cisco asa 5520 5510 какие значения mtu tcpmss должны быть выставлены?

Добрый день.

Подскажите, как правильно реализовать ограничения доступа.

Есть центральный офис, PIX515 и удаленный офис, ASA5505, IPSec между объектами, траффик бегает.

Каким образом можно запретить обращения любых хостов (кроме исключений) из центрального офиса в удаленный, но оставить возможность обращаться из удаленной сети в центральный офис без ограничений?

zubastiy
vpn filter

Есть решение попроще (на антициско подсказали). Повесил ACL для разрешенных хостов на PIX и второй ACL запрещающих всех в удаленную сеть. Работает.

Добрый день.

Есть asa5505 и на ней надо подменять адрес source пакета приходящего из другой сети.

На антициске посоветовали следующую схему
все ip пакеты от 192.168.2.200 к 192.168.49.2 подменять на source 10.10.192.1 ну и обратно тоже

access-list SIEMENS extended permit ip host 192.168.2.200 host 192.168.49.2

static (outside,inside) 10.10.192.1 access-list SIEMENS

и оно работает для tcp icmp но не работает для udp
делал телнет на 80 порт и пинговал - работает.
сделал nslookup - не работает.
регистрация телефона (udp по порту 5060) не работает.

ICMP outside 10.10.192.1:13330 inside 192.168.49.2:0, idle 0:00:00, bytes 224
TCP outside 10.10.192.1(192.168.2.200):48298 inside 192.168.49.2:80, idle 0:00:26, bytes 0, flags UB
UDP outside 192.168.2.200:48906 inside 192.168.49.2:53, idle 0:01:33, bytes 84, flags -
UDP outside 192.168.2.200:45156 inside 192.168.49.2:53, idle 0:01:33, bytes 46, flags -
UDP outside 192.168.2.200:5060 inside 192.168.49.2:5060, idle 0:00:26, bytes 179955, flags -
ICMP outside 10.10.192.1:13330 inside 192.168.49.2:0, idle 0:00:00, bytes 224

добавлял правило явно для UDP но не работает.

у udp псевдозаголовки с адресатом и получателем и мб по этому аса не подменяет адреса.

как заставить работать подмену адресов для udp ?

Господа, обратите, плиз, внимание на сегодняшнюю вакансию. Может заинтересует кого? Горит.

День добрый, для кого и утро. Прошу подсказать по настройке PIXа. Столкнулся с ними совсем недавно, поэтому не всё ещё знаю как писать и мог упустить что то в конфиге, вот и прошу указать на ошибку. PIX 525.

IMHO. проблему решил, всем спасибо. сам додумался

Пришлось переставлять винду, кто подскажет ASDM-IDM Launcher v 1.5(41), под какой версией явы работает, со свежими никак запускаться нехочет?

Под 1.6.0_02 работало точно.

Цитата:

Под 1.6.0_02 работало точно.

Неповеришь, на старой тачке у меня работал под 1.6.22, причем стояли оба билда и 32 и 64 бит, а на новой с шестой версией нифига нехочет, сначала говорит, что типа с длл проблемы, а потом типа с явой, на последней 5-ой версии заработал

to Vic

Скорее всего причина не в ЯВЕ - если ты крутил настроки SSL на АСЕ, то поставь их по умолчанию и тогда все заработает ))))

P.S. Сам когда-то попадался на это фигне, а так ASDM работает с любои версии JAVA

root0

Цитата:

корее всего причина не в ЯВЕ - если ты крутил настроки SSL на АСЕ, то поставь их по умолчанию и тогда все заработает ))))

А я грешу на нею, т.к. на пятой версии заработало, и ругается она на явские длл-ки

to Vic

Чудес не бывает - была аналогичная ситуация на каких-то версиях работало на каких-то нет

P.S. Посмотри на других устроиствах если таковы имеются )))))

root0

Цитата:

P.S. Посмотри на других устроиствах если таковы имеются )))))

Да другие устройства имеются, ситуация абсолютна одинакова на всех устройствах, что толку, говорю на этапе запуска все валится, т.е. даже до логона недоходит

Добрый день.

Имеем вот такую схему:
http://img839.imageshack.us/img839/6610/bb4eqgqbeaemaqybdsenqq9.png

PIX-525, Software Version 7.2(3)

Должно быть: два маршрутизатора (R2,R3) обращаясь телнетом(как пример) из внешней сети на PIX (на два разных адреса (172.16.1.11 для R2 и 172.16.1.12 для R3)) оба должны попадать на маршрутизатор (R1) находящийся во внутренней сети, причем попадать на один и тот же адрес.

PIX
Код:
!
interface Ethernet0
nameif inside
security-level 100
ip address 192.168.1.2 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
access-list NAT1 extended permit ip host 192.168.1.1 host 172.16.1.2
access-list NAT2 extended permit ip host 192.168.1.1 host 172.16.1.3
access-list TEST extended permit ip any any
static (inside,outside) 172.16.1.11 access-list NAT1
static (inside,outside) 172.16.1.12 access-list NAT2
access-group TEST in interface outside


Далее с R2 и R3 пробуем зайти на R1:
Код:
R2#telnet 172.16.1.11
Trying 172.16.1.11 ... Open
User Access Verification
Username: admin
Password:
R1>

R3# telnet 172.16.1.11
Trying 172.16.1.11 ... Open
User Access Verification
Username: admin
Password:
R1>


Как видим с R3 также есть доступ хотя по 172.16.1.11 быть его не должно, смотрим packet-tracer, обращаем внимание на Phase: 2 и 6

Код:
pix-test(config-if)# packet-tracer input outside tcp 172.16.1.3 telnet 172.16.1.11 telnet detailed

Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (inside,outside) 172.16.1.11 access-list NAT1
match ip inside host 192.168.1.1 outside host 172.16.1.2
static translation to 172.16.1.11
translate_hits = 0, untranslate_hits = 4
Additional Information:
NAT divert to egress interface inside
Untranslate 172.16.1.11/0 to 192.168.1.1/0 using netmask 255.255.255.255

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group TEST in interface outside
access-list TEST extended permit ip any any
Additional Information:
Forward Flow based lookup yields rule:
in id=0x391b5c8, priority=12, domain=permit, deny=false
hits=4, user_data=0x391b588, cs_id=0x0, flags=0x0, protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0x3936fa0, priority=0, domain=permit-ip-option, deny=true
hits=4, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0

Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (inside,outside) 172.16.1.12 access-list NAT2
match ip inside host 192.168.1.1 outside host 172.16.1.3
static translation to 172.16.1.12
translate_hits = 0, untranslate_hits = 1
Additional Information:
Forward Flow based lookup yields rule:
out id=0x391b0e8, priority=5, domain=nat-reverse, deny=false
hits=2, user_data=0x391ae08, cs_id=0x0, flags=0x0, protocol=0
src ip=172.16.1.3, mask=255.255.255.255, port=0
dst ip=192.168.1.1, mask=255.255.255.255, port=0

Phase: 6
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,outside) 172.16.1.11 access-list NAT1
match ip inside host 192.168.1.1 outside host 172.16.1.2
static translation to 172.16.1.11
translate_hits = 0, untranslate_hits = 4
Additional Information:
Reverse Flow based lookup yields rule:
in id=0x391a9e0, priority=5, domain=host, deny=false
hits=9, user_data=0x391a458, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip=192.168.1.1, mask=255.255.255.255, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0

Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in id=0x390fc00, priority=0, domain=permit-ip-option, deny=true
hits=4, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0

Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 4, packet dispatched to next module
Module information for forward flow ...
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_adjacency
snp_fp_fragment
snp_fp_tracer_drop
snp_ifc_stat

Module information for reverse flow ...
snp_fp_inspect_ip_options
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_fp_tracer_drop
snp_ifc_stat

Phase: 9
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 192.168.1.1 using egress ifc inside
adjacency Active
next-hop mac address ca00.17d0.0000 hits 76

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow


Понятно что acl TEST можно сделать более конкретным и все будет работать как надо, но поставлено условие: acl TEST должен быть максимально общим

Вобщем вопрос в следующем: почему так происходит, ведь тип транслируемого трафика явно указан и как это побороть при условии, что отфильтровать входящий трафик с помощью ACL мы не можем.

123

добрый день, ни разу не пользовался cisco тем более asa. принесли 5010 и 5005 АСАшки
сказали надо настроить, чтобы работало, мало того , что циско , так еще и асашка ( специфичная штука ). Может кто нибудь подсказать - как реализовать туннель между цисками лучше в конфигах, чтобы было откуда отталкиваться, примеры найденные в инете или просто ошибку при вписании конфига дают или просто не так работают , а времени изучать нет, мешают другие задачи
схема сети
10.10.2.x сеть локальная <--> 10.10.2.254 (ASA5510) 10.1.1.1 -----------vpn от провайдера прозрачный (еще возможен второй канал через инет ) 10.1.1.2 (ASA5505) 10.10.3.x

но будет еще две точки подключаемые или через впн от провайдера прозрачный для нас
тоже на ASA5505 10.10.4.x 10.10.5.x внутренние сети
и хотелось бы организовать возможность подключения к циске через инет по впн компов или длинк роутеров...

сейчас сделано все на длинках.

День добрый.

Подскажите по логированию.

Есть ASA5510 (8.2), статик нат для порта 5080
Висит ACL для этого ната - вход только с указанного диапазона адресов.
Хотелось бы логировать факты успешной установки соединений - кто и во сколько.
Возможно? Сейчас как не крутился, на syslog сервер улетают только deny

Прошу помощи

Есть pix 501, работает как firewall и nat для локальной сети - натятся нектороые серые адреса в белый 200.0.0.5
Есть белые подсети 200.0.0.0/29 и 200.0.0.8/29
Понадобилось пробросить извне порт 3389 на адрес 10.0.0.2
не могу понять что неправильно


Вот текущий конфиг:

...
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security10
...
access-list aclOutside permit tcp any 200.0.0.0 255.255.255.248 eq 3389
...
ip address outside 200.0.0.2 255.255.255.248
ip address inside 10.0.0.1 255.255.255.0
ip address dmz 200.0.0.9 255.255.255.248
...
global (outside) 1 200.0.0.5 netmask 255.255.255.248
nat (inside) 1 10.0.0.5 255.255.255.255 0 0
nat (inside) 1 10.0.0.11 255.255.255.255 0 0
nat (inside) 1 10.0.0.58 255.255.255.255 0 0
...
static (inside,outside) tcp 200.0.0.2 3389 10.0.0.2 3389 netmask 255.255.255.255 0 0
access-group aclOutside in interface outside
access-group aclInside in interface inside

to gbcfkf
вроде все так. показали бы конфиг побольше=)

включен ли nat-control ?
если да, то добавить ip nat inside для 10.0.0.2

содержимое aclInside?

команда capture что показывает?

Всё, вопрос снят

косяк был в :
внутрь пакеты идут на 200.0.0.2. а вовне через 200.0.0.5

Добрый день

В наличии несколько Cisco 5500 серии с прошивкой 8.2(х).
В центре 5510, в удаленных офисах 5505.
Возникла необходимость пробрасывать порт с outside интерфейса в один из удаленных офисов, через IPSec туннель.
на первый взгляд все просто:
static (outside,outside) tcp 1.1.1.1 2222 192.168.0.2 2222 netmask 255.255.255.255
access-list outside extended permit tcp any host 1.1.1.1 eq 2222
same-security-traffic permit intra-interface
проверяю - не работает... неожиданно.
перенастраиваю NAT
static (outside,outside) 1.1.1.1 192.168.0.2 netmask 255.255.255.255
результат тот же... печально

Вопрос только один: куда копать дальше?

P.S. packet-tracer input outside tcp 2.2.2.2 10000 1.1.1.1 2222 detailed
в итоге отдает
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
Т.е. с точки зрения ASA все хорошо, вот только не работает...

Конфиг покажите.
а именно acl, который используется для interesting traffic, который попадает в vpn.

ESX091
на 5510
static (outside,outside) tcp 1.1.1.1 2222 192.168.0.2 2222 netmask 255.255.255.255
access-list outside extended permit tcp any host 1.1.1.1 eq 2222
access-list VPN extended permit ip object-group LOCAL_LAN object-group REMOTE_LAN
access-list VPN extended permit tcp any host 192.168.0.2 eq 2222

на 5505
access-list VPN extended permit ip object-group LOCAL_LAN object-group REMOTE_LAN
access-list VPN extended permit tcp host 192.168.0.2 eq 2222 any
access-list inside extended permit tcp host 192.168.0.2 any

rakis
по конфигу вроде все ок.
я собирал такую схему, но указывал просто ip адреса без портов, а на outside уже ограничивал на L4.
до 5505 пакеты доходят или нет?
в vpn вообще попадают?
зачем на 5505 access-list inside не совсем понял.
если можно скиньте сюда или в личку полный конфиг, адреса и пароли не интересуют=)

zubastiy

Цитата:

Есть ASA5510 (8.2), статик нат для порта 5080
Висит ACL для этого ната - вход только с указанного диапазона адресов.
Хотелось бы логировать факты успешной установки соединений - кто и во сколько

Нужно в аксесс-листе, который висит на входе добавить в нужную строку в конце команду log.
И еще настройки логгирования
logging timestamp
logging trap informational
Ну а сервер видимо у вас уже настроен
logging host INTERFACE X.X.X.X
logging facility Y

Этого должно быть достаточно.

schukin
спасибо, заработало.