Witam,
Konfiguracja sieci:
lan1(192.168.1.0/24) - ASA1 - x.x.x.x/30 - router - WAN - router - y.y.y.y/30 - ASA2 - lan2(192.168.2.0/24)
Routing, inspekcja icmp, acl skonfigurowane.
Jest komunikacja pomiędzy hostami lan1 <-> lan2.
Potrzebuję mieć dostęp po ssh z lan1 do asa2, jak również wysyłania syslog z asa 2 do hosta w lan1.
Nie mogę dostać się bezpośrednio przez interfejs y.y.y.y/30 ponieważ ta połączeniówka jest po drodze blokowana na routerach w WAN.
Czy jest możliwość dostępu do lan1 <-> asa2 np. przez wewnętrzny interfejs asa2 ?
Na asa2 ustawiłem management-access inside, ale to chyba konfiguracja wykorzystywana przy tunelach VPN, więc pewnie nie tędy droga.
Dostęp do ASA przez wew. interfejs
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: Dostęp do ASA przez wew. interfejs
Czesc,
Nie czaje, jak oparator blokuje Tobie ruch ?
Zrob pare ACL na outside i tyle ?
Pokaz jak wyglada packet tracer (daj z opcja detail)
pzdr
Nie czaje, jak oparator blokuje Tobie ruch ?
Zrob pare ACL na outside i tyle ?
Pokaz jak wyglada packet tracer (daj z opcja detail)
pzdr
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: Dostęp do ASA przez wew. interfejs
asa1:
asa2:
host1(192.168.1.100) - (192.168.1.1)ASA1(10.1.1.1/30) - (10.1.1.2/30)R1 - WAN - r2(10.1.1.9/30) - (10.1.1.10/30)ASA2 - lan2(192.168.2.0/24)
Wygląda na to że na routerach WAN (pomiędzy R1 i R2) przepuszczany jest tylko ruch do lan1 i lan2(dest. 192.168.1.0/24 i 192.168.2.0/24), natomiast wszystko inne blokowane w tym 10.1.1.1/30 i 10.1.1.8/30
Do R1 i R2 nie mam dostępu (routery operatora WAN) jeżeli chodzi o ewentualną zmianę konfiguracji.
Kod: Zaznacz cały
packet-tracer input INT_INSIDE tcp 192.168.1.100 5555 10.1.1.10 ssh detailed
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 10.1.1.8 255.255.255.252 INT_WAN
Phase: 2
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0xad036a60, priority=0, domain=inspect-ip-options, deny=true
hits=29879990, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=INT_INSIDE, output_ifc=any
Phase: 3
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0xadcd3ee0, priority=18, domain=flow-export, deny=false
hits=34425586, user_data=0xadca39b0, cs_id=0x0, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=INT_INSIDE, output_ifc=any
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group 107 out interface INT_WAN
access-list 107 extended permit ip object lan1 any
Additional Information:
Forward Flow based lookup yields rule:
out id=0xad1fb108, priority=13, domain=permit, deny=false
hits=80010, user_data=0xaa90a040, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=192.168.1.0, mask=255.255.255.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=any, output_ifc=INT_WAN
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in id=0xad07d538, priority=0, domain=inspect-ip-options, deny=true
hits=1953730, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=INT_WAN, output_ifc=any
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 29926979, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Result:
input-interface: INT_INSIDE
input-status: up
input-line-status: up
output-interface: INT_WAN
output-status: up
output-line-status: up
Action: allow
Kod: Zaznacz cały
packet-tracer input INT_WAN tcp 192.168.1.100 5555 10.1.1.10 ssh detailed
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0xcc124838, priority=1, domain=permit, deny=false
hits=85100, user_data=0x0, cs_id=0x0, l3_type=0x8
src mac=0000.0000.0000, mask=0000.0000.0000
dst mac=0000.0000.0000, mask=0100.0000.0000
input_ifc=gts, output_ifc=any
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 10.1.1.10 255.255.255.255 identity
Phase: 3
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0xcc906f30, priority=121, domain=permit, deny=false
hits=131, user_data=0x0, cs_id=0x0, flags=0x0, protocol=6
src ip/id=192.168.1.0, mask=255.255.255.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=22, tag=0 dscp=0x0
input_ifc=INT_WAN, output_ifc=identity
Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0xcba1e560, priority=0, domain=nat-per-session, deny=false
hits=16854485, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
input_ifc=any, output_ifc=any
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0xcc12a038, priority=0, domain=inspect-ip-options, deny=true
hits=234371, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
input_ifc=gts, output_ifc=any
Phase: 6
Type: MGMT-TCP-INTERCEPT
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0xcc8de808, priority=0, domain=mgmt-tcp-intercept, deny=false
hits=0, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=22, tag=0 dscp=0x0
input_ifc=gts, output_ifc=identity
Phase: 7
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 10.1.1.9 using egress ifc gts
adjacency Active
next-hop mac address 0018.ba59.00e3 hits 1262
Result:
input-interface: gts
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: allow
Wygląda na to że na routerach WAN (pomiędzy R1 i R2) przepuszczany jest tylko ruch do lan1 i lan2(dest. 192.168.1.0/24 i 192.168.2.0/24), natomiast wszystko inne blokowane w tym 10.1.1.1/30 i 10.1.1.8/30
Do R1 i R2 nie mam dostępu (routery operatora WAN) jeżeli chodzi o ewentualną zmianę konfiguracji.
Re: Dostęp do ASA przez wew. interfejs
Zaraz ktoś wyskoczy z megamagiczną komendą, ale na Pata i Mata (Sąsiedzi), to możesz:cesarks pisze:Czy jest możliwość dostępu do lan1 <-> asa2 np. przez wewnętrzny interfejs asa2 ?
- wstawić małego słiczyka, i "odbijać" się od niego,
- jak masz 2 porty wolne, to loopback
- albo wywiercić dziurę w podłodze (to akurat nie ma nic wspólnego z tym co chcesz osiągnąć).
Re: Dostęp do ASA przez wew. interfejs
Cześć,
Spróbuj:
management-access inside
ssh 192.168.1.100 255.255.255.255 inside
Spróbuj:
management-access inside
ssh 192.168.1.100 255.255.255.255 inside