Dostęp do ASA przez wew. interfejs

[cesarks]

Witam,

Konfiguracja sieci:

lan1(192.168.1.0/24) - ASA1 - x.x.x.x/30 - router - WAN - router - y.y.y.y/30 - ASA2 - lan2(192.168.2.0/24)

Routing, inspekcja icmp, acl skonfigurowane.
Jest komunikacja pomiędzy hostami lan1 <-> lan2.
Potrzebuję mieć dostęp po ssh z lan1 do asa2, jak również wysyłania syslog z asa 2 do hosta w lan1.
Nie mogę dostać się bezpośrednio przez interfejs y.y.y.y/30 ponieważ ta połączeniówka jest po drodze blokowana na routerach w WAN.
Czy jest możliwość dostępu do lan1 <-> asa2 np. przez wewnętrzny interfejs asa2 ?
Na asa2 ustawiłem management-access inside, ale to chyba konfiguracja wykorzystywana przy tunelach VPN, więc pewnie nie tędy droga.

[PatrykW]

Czesc,

Nie czaje, jak oparator blokuje Tobie ruch ?
Zrob pare ACL na outside i tyle ?

Pokaz jak wyglada packet tracer (daj z opcja detail)

pzdr

[cesarks]

asa1:

Kod: Zaznacz cały

packet-tracer input INT_INSIDE tcp 192.168.1.100 5555 10.1.1.10 ssh detailed

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.1.1.8    255.255.255.252 INT_WAN

Phase: 2
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xad036a60, priority=0, domain=inspect-ip-options, deny=true
        hits=29879990, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=INT_INSIDE, output_ifc=any

Phase: 3
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xadcd3ee0, priority=18, domain=flow-export, deny=false
        hits=34425586, user_data=0xadca39b0, cs_id=0x0, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=INT_INSIDE, output_ifc=any

Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group 107 out interface INT_WAN
access-list 107 extended permit ip object lan1 any
Additional Information:
 Forward Flow based lookup yields rule:
 out id=0xad1fb108, priority=13, domain=permit, deny=false
        hits=80010, user_data=0xaa90a040, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=192.168.1.0, mask=255.255.255.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=any, output_ifc=INT_WAN

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Reverse Flow based lookup yields rule:
 in  id=0xad07d538, priority=0, domain=inspect-ip-options, deny=true
        hits=1953730, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=INT_WAN, output_ifc=any

Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 29926979, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Result:
input-interface: INT_INSIDE
input-status: up
input-line-status: up
output-interface: INT_WAN
output-status: up
output-line-status: up
Action: allow

asa2:

Kod: Zaznacz cały

packet-tracer input INT_WAN tcp 192.168.1.100 5555 10.1.1.10 ssh detailed

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcc124838, priority=1, domain=permit, deny=false
        hits=85100, user_data=0x0, cs_id=0x0, l3_type=0x8
        src mac=0000.0000.0000, mask=0000.0000.0000
        dst mac=0000.0000.0000, mask=0100.0000.0000
        input_ifc=gts, output_ifc=any

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.1.1.10   255.255.255.255 identity

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcc906f30, priority=121, domain=permit, deny=false
        hits=131, user_data=0x0, cs_id=0x0, flags=0x0, protocol=6
        src ip/id=192.168.1.0, mask=255.255.255.0, port=0, tag=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=22, tag=0 dscp=0x0
        input_ifc=INT_WAN, output_ifc=identity

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcba1e560, priority=0, domain=nat-per-session, deny=false
        hits=16854485, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=6
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
        input_ifc=any, output_ifc=any

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcc12a038, priority=0, domain=inspect-ip-options, deny=true
        hits=234371, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
        input_ifc=gts, output_ifc=any

Phase: 6
Type: MGMT-TCP-INTERCEPT
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcc8de808, priority=0, domain=mgmt-tcp-intercept, deny=false
        hits=0, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=6
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=22, tag=0 dscp=0x0
        input_ifc=gts, output_ifc=identity

Phase: 7
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 10.1.1.9 using egress ifc gts
adjacency Active
next-hop mac address 0018.ba59.00e3 hits 1262

Result:
input-interface: gts
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: allow

host1(192.168.1.100) - (192.168.1.1)ASA1(10.1.1.1/30) - (10.1.1.2/30)R1 - WAN - r2(10.1.1.9/30) - (10.1.1.10/30)ASA2 - lan2(192.168.2.0/24)
Wygląda na to że na routerach WAN (pomiędzy R1 i R2) przepuszczany jest tylko ruch do lan1 i lan2(dest. 192.168.1.0/24 i 192.168.2.0/24), natomiast wszystko inne blokowane w tym 10.1.1.1/30 i 10.1.1.8/30
Do R1 i R2 nie mam dostępu (routery operatora WAN) jeżeli chodzi o ewentualną zmianę konfiguracji.

[konradrz]

Czy jest możliwość dostępu do lan1 <-> asa2 np. przez wewnętrzny interfejs asa2 ?

Zaraz ktoś wyskoczy z megamagiczną komendą, ale na Pata i Mata (Sąsiedzi), to możesz:
- wstawić małego słiczyka, i "odbijać" się od niego,
- jak masz 2 porty wolne, to loopback
- albo wywiercić dziurę w podłodze (to akurat nie ma nic wspólnego z tym co chcesz osiągnąć).

[Mariuniu]

Cześć,

Spróbuj:
management-access inside
ssh 192.168.1.100 255.255.255.255 inside