Problem z DHCP którego nie ma ASA-5506x

Problemy związane ze switchingiem

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron

Wiadomość
Autor
matrixgd
member
member
Posty: 33
Rejestracja: 29 lip 2013, 19:50

Problem z DHCP którego nie ma ASA-5506x

#1

#1 Post autor: matrixgd »

Mam problem z ASA-5506x FTD. Mam DHCP na Windows server 2016 w Asie mam wyłączony dhcp. Jak mam podłączoną sieć do ASA to windows nie przydziela IP. Próbkuje i co chwila wrzuca błąd address already in use. Jak tylko odepnę ASA to od razu wszystko jest ok. Już kompletnie straciłem pomysły. Restartowałem wszystkie urządzenia. ASA nie ma dhcp. Autokonfigurację DHCP też mam wyułączoną. Nie mam pojęcia czego szukać :(.
Będę wdzięczny za wszelką pomoc.

dante999
wannabe
wannabe
Posty: 53
Rejestracja: 26 mar 2015, 14:12

Re: Problem z DHCP którego nie ma ASA-5506x

#2

#2 Post autor: dante999 »

Tak strzelam ale moze masz konfiguracje NAT z interfejsem any i nie dopisanym no-proxy-arp co moze spowodowac ze asa prezentuje sie wszystkimi adresami z LAN.

Wysłane z mojego ELE-L29 przy użyciu Tapatalka


Awatar użytkownika
drake
CCIE
CCIE
Posty: 1568
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem z DHCP którego nie ma ASA-5506x

#3

#3 Post autor: drake »

Hej,
droga ktora wskazal "dante999" brzmi bardzo rozsadnie, sprawdz konfiguracje NAT.

Pozdruffka! ;)
Never stop exploring :)

https://iverion.de

matrixgd
member
member
Posty: 33
Rejestracja: 29 lip 2013, 19:50

Re: Problem z DHCP którego nie ma ASA-5506x

#4

#4 Post autor: matrixgd »

Wielkie dzięki,
Rzeczywiście to dobry trop. W zasadzie z automatu zawsze jest odznaczone na wszystkich interfejsach. Problem robił mój błędny wpis. Wciąż nie potrafię zrobić by mi przekierowanie portów zadziałał. Jakoś nie potrafię tego ogarnąć. Testując na wszystkie sposoby na porcie do DNS pulpitu zrobiłem wpis any any i to robiło kocioł. Możecie jeszcze mi poradzić co mam wpisać by mi zadziałało przekierowanie portu na DNS?
Będę wdzięczny za pomoc.
Obrazek

dante999
wannabe
wannabe
Posty: 53
Rejestracja: 26 mar 2015, 14:12

Re: Problem z DHCP którego nie ma ASA-5506x

#5

#5 Post autor: dante999 »

Wyjście do Internetu (PAT):

Kod: Zaznacz cały

object network obj-lan-inside
 nat (inside,outside) dynamic interface
Wystawienie portu:

Kod: Zaznacz cały

object network obj-adres-z-inside
 nat (inside,outside) static ADRES-PUBLICZNY service udp 53 53
Jakbyś robił statyczny nat to dopisz na końcu no-proxy-arp:

Kod: Zaznacz cały

nat (any,zone-y) source static obj-x obj-x destination static obj-y obj-y no-proxy-arp

matrixgd
member
member
Posty: 33
Rejestracja: 29 lip 2013, 19:50

Re: Problem z DHCP którego nie ma ASA-5506x

#6

#6 Post autor: matrixgd »

Niestety w FPTD nie ma cli. Jedyna opcja jak można to konfigurować, to przez webgui. Nie potrafię tego zrobić tak by działało mi przekierowanie portów np. na zdalny pulpit. Na załączonych screenach próbowałem przekierować port 33200 na komputer dell2018 (DELL2018 = HOST 192.168.0.200). Próbowałem różnych wariacji i jakoś nie potrafię go zmusić do działania. Ani na na porcie 33200 ani dns :(.

Obrazek
Obrazek

konfiguruję przez to okno:

Obrazek

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1568
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem z DHCP którego nie ma ASA-5506x

#7

#7 Post autor: drake »

Jest CLI, tylko przez SSH. Sprawdziles dokumentacje?
Never stop exploring :)

https://iverion.de

matrixgd
member
member
Posty: 33
Rejestracja: 29 lip 2013, 19:50

Re: Problem z DHCP którego nie ma ASA-5506x

#8

#8 Post autor: matrixgd »

według mnie cli przez ssh oczywiście jest ale wielopoziomowe i z tego co doczytałem FP TD nie da się przez ssh skonfigurować :(. Być może błądzę ale mi się nie udało wejść do normalnego conf-t

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1568
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem z DHCP którego nie ma ASA-5506x

#9

#9 Post autor: drake »

Hej,
CLI jest oczywiscie wylacznie do weryfikacji, sama konfiguracja wykonywana jest przez GUI (FMC lub FDM).
Ta konfiguracja jest dosyc prosta, o ile nie zapomnisz o:
1. definicji static NAT z port forwarding (mapped & real port)
2. definicji dedykowanej reguly w ACP, ktora zezwala na ten ruch z outside do inside, ALE na prawdziwy IP i port, a nie ten zmapowany

Wazne jest rowniez, aby zwrocic uwage na kolejnosc przetwarzania regul NAT, jesli masz kilka roznych (1. manual NAT, 2. auto NAT /a. static NAT, b. dynamic NAT/, 3. manual NAT after auto. Moze masz sytuacje, w ktorej bardziej ogolna regula jest stworzona w tym samym rodzaju NAT i jest wyzej, wiec wystapi sytuacja "rule preemption" i twoja szczegolowa regula nie jest przetwarzana.

Sprawdz szczegolowo swoj konfig przez CLI:

Kod: Zaznacz cały

show nat detail
Pozdruffka!
Never stop exploring :)

https://iverion.de

matrixgd
member
member
Posty: 33
Rejestracja: 29 lip 2013, 19:50

Re: Problem z DHCP którego nie ma ASA-5506x

#10

#10 Post autor: matrixgd »

No właśnie. Konfiguracja przez FMC albo FDM. Przez FDM to jakiś dramat. Nie wiem czy mam jakąś pętlę ale każdy deploy trwa 3 do 5 min :(
W ogóle FDM działa makabrycznie wolno. Czy jak mam już skonfigurowanego ASA to mogę przesiąść się z FDM na FMC (configure manager add ) i odwrotnie (Configure manager delete, Configure manager local)? czy stracę konfigurację?
Pytam bo teraz jestem daleko od ASA i jak coś mi nie pójdzie to zdalnie się nie połączę :(

Co do przekierowania portów to "poczytałem internet" przez noc i w końcu coś wymodziłem.
Obrazek
Obrazek
Obrazek'
Teraz przekierowanie portu już działa.
Show nat detail pokazuje dla tej reguły:
10 (nlp_int_tap) to (outside) source dynamic nlp_client_0_intf11 interface
translate_hits = 265, untranslate_hits = 2
Source - Origin: 169.254.1.2/32, Translated: xx.xx.xx.xx/24 (xx.xx.xx.xx mój zewnętrzny ip)

Mam jeszcze kilka problemów których nie rozumiem.
1. W moim starym cisco wpisywałem: ip nat inside source static udp 192.168.0.200 53 xx.xx.xx.xx 53 extendable i dzaiałał
w ASA nie wiem jak użyć tego samego adresu IP co outside. Tworzę object ServerPublicIP ale musi on być inny niż outside. Czy można to jakoś zrobić na jednym IP? Pierwszy interfejs mam skonfigurowany jako static i przypisany publicIP. W związku z tym nie mogę utworzyć object ServerPublicIP o takim samym adresie. Przepraszam jak zamotałem :(
2. następna rzecz to nie wiem jak przypisać role do wszystkich portów. W oknie Edit NAT role ->oryginal packet-> source interface mogę wybrać tylko pojedyncze interfejsy.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1568
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem z DHCP którego nie ma ASA-5506x

#11

#11 Post autor: drake »

Hej,
tak, stracisz, nie zmienia sie FDM/FMC zdalnie. A ze wolno.... Coz, to jeszcze "starszy" sensor bazujacy na 5506, nowe 1010 sa szybsze :)
Co do NAT - definiujesz interfejsy (source/destination) i robisz translacje na destination Interface, tym sposobem mozesz wiele roznych portow przekierowac z outside/Public na INSIDE/dmz.

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1568
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem z DHCP którego nie ma ASA-5506x

#12

#12 Post autor: drake »

Ah jeszcze co do szybkosci dzialania - ze wzgledu na ograniczenie sprzetowe, na 5506 pojdzie max. soft 6.2.3, natomiast Cisco "poprawilo" szybkosc deploymentu i jakosc softu znaczaco od wersji 6.3, a obecny 6.5 dziala naprawde swietnie (6.4.0.4/6 tez, jest zreszta polecany jako "sprawdzony w boju").

Pozdruffka!
Never stop exploring :)

https://iverion.de

matrixgd
member
member
Posty: 33
Rejestracja: 29 lip 2013, 19:50

Re: Problem z DHCP którego nie ma ASA-5506x

#13

#13 Post autor: matrixgd »

Dzięki za odpowiedź, sprawdziłem wcześnie i rzeczywiście potwierdziłeś moje doświadczenie. Nie da się zdalnie (w sensie da się ale odłączy mnie) zmienić managera. Cóż muszę się wiele jeszcze nauczyć widzę, bo FTD to kompletnie inna filozofia.
Jednak dla potomnych, dzięki temu doświadczeniu nauczyłem się resetować konfigurację ASA FTD do 0 (do default). Wcześniej szukałem w necie i jedynie jaka poradę znalazłem to wgranie softu FTD od nowa co zajmuje 1,5h. A tu proszę wystarczy zmienić managera i konfiguracja czysta w 5 min. Ile razy ja już ten soft instalowałem :) a to takie proste.
Ok ale do rzeczy.
Widzę, że nie ma co konfigurować przez FDM bo z tego co czytam ma sporo ograniczeń. Popraw mnie jak się mylę ale nie da się przez FDM zestawić VPN.
No więc teraz już mam FMC i zaczynam od początku :)
Jak pozwolisz skorzystać z Twojego doświadczenia (pomocy) to podpowiedz prozę czy jest możliwość podniesienia albo skonfigurowania portu z poziomu terminala ssh? Znaczy jak zmieniam managera to jedyna port jaki się podnosi to port managera. Port FastEthernet są down. Czy bez logowanie się przez FMC jestem w stanie np zmienić ip na porcie i go podnieść czy dopiero podłączając FMC mogę to zrobić przez GUI?

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1568
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem z DHCP którego nie ma ASA-5506x

#14

#14 Post autor: drake »

Hej,
dokladnie tak, reset konfiguracji najszybszy jest wlasnie przez dodanie/usuniecie managera (FMC). Co do VPN - zalezy od softu, od 6.1 (z pre-shared keys) powinna byc taka mozliwosc o ile dobrze pamietam, a od 6.2 z pewnoscia. Na temat interfejsow - nalezy rozroznic management interface, ktory sie nie polozy i zachowa swoja konfiguracje, oraz data-plane interfejsy, ktore zostana zresetowane. O ile masz port "management" podlaczony do sieci i skonfigurowany pod dostep SSH/HTTTPs, to nie widze problemu, nie stracisz lacznosci z sensorem, choc "pelna" konfiguracja odbywa sie przez FDM lub FMC, nie przez CLI. W "porzadnej" sieci powinien byc oczywiscie dodatkow dostep do konsoli urzadzenia :)

Pozdruffka!
Never stop exploring :)

https://iverion.de

matrixgd
member
member
Posty: 33
Rejestracja: 29 lip 2013, 19:50

Re: Problem z DHCP którego nie ma ASA-5506x

#15

#15 Post autor: matrixgd »

No uczę się uczę i każdego dnia jestem trochę dalej :). Ale bycie samoukiem to nie jest najprostsza ścieżka.
Próbuje ogarnąć FMC i niestety wciąż nie potrafię go zmusić do łączności z internetem. Podglądam jak wygląda running-config pod FTD i FMC i już wygląda w zasadzie identyczni ale internet nie działa. Nie wiem czy to za sprawą ACL czy czego. ASA do testów podłączam w sieć 192.168.0.0 brama to 192.168.0.1

Tak wygląda mój NAT, Route i ACL. Możesz mi podpowiedzieć co robię nie tak:

> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet1/1 outside 192.168.0.29 255.255.255.0 CONFIG
GigabitEthernet1/2 insideGb1_2 192.168.1.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet1/1 outside 192.168.0.29 255.255.255.0 CONFIG
GigabitEthernet1/2 insideGb1_2 192.168.1.1 255.255.255.0 CONFIG
>

> show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.0.1 to network 0.0.0.0

S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.0.1, outside
C 192.168.0.0 255.255.255.0 is directly connected, outside
L 192.168.0.29 255.255.255.255 is directly connected, outside
C 192.168.1.0 255.255.255.0 is directly connected, insideGb1_2
L 192.168.1.1 255.255.255.255 is directly connected, insideGb1_2

> show nat
Manual NAT Policies (Section 1)
1 (insideGb1_2) to (outside) source dynamic any interface
translate_hits = 316, untranslate_hits = 0

> show running-config nat
nat (insideGb1_2,outside) source dynamic any interface

> show running-config access-list
access-list CSM_FW_ACL_ remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy
access-list CSM_FW_ACL_ remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268436483: ACCESS POLICY: inside_otside_policy - Default
access-list CSM_FW_ACL_ remark rule-id 268436483: L7 RULE: in_in_rule
access-list CSM_FW_ACL_ advanced permit ip ifc insideGb1_2 any ifc insideGb1_2 any rule-id 268436483
access-list CSM_FW_ACL_ remark rule-id 268436484: ACCESS POLICY: inside_otside_policy - Default
access-list CSM_FW_ACL_ remark rule-id 268436484: L7 RULE: in_out_rule
access-list CSM_FW_ACL_ advanced permit ip ifc insideGb1_2 any ifc outside any rule-id 268436484
access-list CSM_FW_ACL_ remark rule-id 268436482: ACCESS POLICY: inside_otside_policy - Default
access-list CSM_FW_ACL_ remark rule-id 268436482: L4 RULE: DEFAULT ACTION RULE
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268436482 event-log flow-end

ODPOWIEDZ