Hej,
Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1
Pzdr
Cisco ASA - NAT konwerter
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Cisco ASA - NAT konwerter
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: Cisco ASA - NAT konwerter
ja mam do tego celu "staging" ASA5520:Wojtachinho pisze: ↑24 lis 2017, 14:29 Hej,
Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1
Pzdr
- wrzucam config klienta do 8.2.x , "no nat-control" jesli byl w konfigu
- upgrade do 8.4.6
- werifykacja
- upgrade do 9.1.x
- mala modyfikacja dla ASAX (interfejsy)
- przerzucenie konfigu na ASAX i upgrade do 9.6/8
- dodanie "arp permit non-connected" dla swietego spokoju
jest tez Cisco online tool : https://fwm.cisco.com , testowalem pare razy, pomielil config pare godzin i wyplul ze nie da rady. Metoda z Asa zawsze sie sprawdza ( a robiłem już sporo migracji), wiec nie zmieniam podejscia. Przydaje sie tez do migracji do FTD ale potem jest jeszcze krok ze staging FMC do migracji konfigu i przemielenia na FTD style i wrzucenie do produkcyjnego ale ta metoda dziala tylko dla ACLek na interfejsach i NATu (ale tu sa kwiatki) reszte trzeba z palca.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: Cisco ASA - NAT konwerter
Hej,mihu pisze: ↑24 lis 2017, 16:28ja mam do tego celu "staging" ASA5520:Wojtachinho pisze: ↑24 lis 2017, 14:29 Hej,
Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1
Pzdr
- wrzucam config klienta do 8.2.x , "no nat-control" jesli byl w konfigu
- upgrade do 8.4.6
- werifykacja
- upgrade do 9.1.x
- mala modyfikacja dla ASAX (interfejsy)
- przerzucenie konfigu na ASAX i upgrade do 9.6/8
- dodanie "arp permit non-connected" dla swietego spokoju
jest tez Cisco online tool : https://fwm.cisco.com , testowalem pare razy, pomielil config pare godzin i wyplul ze nie da rady. Metoda z Asa zawsze sie sprawdza ( a robiłem już sporo migracji), wiec nie zmieniam podejscia. Przydaje sie tez do migracji do FTD ale potem jest jeszcze krok ze staging FMC do migracji konfigu i przemielenia na FTD style i wrzucenie do produkcyjnego ale ta metoda dziala tylko dla ACLek na interfejsach i NATu (ale tu sa kwiatki) reszte trzeba z palca.
Ciekawy patent z ta strona.
Wyslalem swoj konfig, ciekawe czy pyknie. Jak myslisz ?
Conversion created successfully : CSCO-ASA 5550-CSCO-ASA 5555-X-20322. You will be notified over e-mail once the conversion is completed.
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: Cisco ASA - NAT konwerter
mihu pisze: ↑24 lis 2017, 16:28ja mam do tego celu "staging" ASA5520:Wojtachinho pisze: ↑24 lis 2017, 14:29 Hej,
Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1
Pzdr
- wrzucam config klienta do 8.2.x , "no nat-control" jesli byl w konfigu
- upgrade do 8.4.6
- werifykacja
- upgrade do 9.1.x
- mala modyfikacja dla ASAX (interfejsy)
- przerzucenie konfigu na ASAX i upgrade do 9.6/8
- dodanie "arp permit non-connected" dla swietego spokoju
jest tez Cisco online tool : https://fwm.cisco.com , testowalem pare razy, pomielil config pare godzin i wyplul ze nie da rady. Metoda z Asa zawsze sie sprawdza ( a robiłem już sporo migracji), wiec nie zmieniam podejscia. Przydaje sie tez do migracji do FTD ale potem jest jeszcze krok ze staging FMC do migracji konfigu i przemielenia na FTD style i wrzucenie do produkcyjnego ale ta metoda dziala tylko dla ACLek na interfejsach i NATu (ale tu sa kwiatki) reszte trzeba z palca.
Mihu,
Dostalem kilka bledow w pliku upgrade_startup_errors_.log
The following 'nat' command didn't have a matching 'global' rule on interface 'vpssharedsvcs' and was not migrated.
nat (ril) 1 10.0.0.0 255.0.0.0
Oczywiscie jest tego wiecej.WARNING: The following 'nat exempt' rule with "deny" access-list was replaced by an estimated NAT rule.
nat (ril) 0 access-list TEST-RIL-NONAT
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: Cisco ASA - NAT konwerter
osobiście nie ufam temu tool-owi. jest też inny do konwersji z NetScreena (w miarę ok ale dużo trzeba korygować) i CheckPointa - robi tylko global ACL ale przy FTD już się poddałem bo tam tak samo.
NATy statyczne są konwertowane prakatycznie 100% ok, mówię o ASA5520, ale ten FWM tool pewnie to pewnie to samo podejście, inne to już różnie i " sh run start error" to Twój najlepszy przyjaciel, w przeszłości miałem kiedyś sytuację że po reboocie po cichu coś wywalił jak AnyConnect bo nie znalazł pliku czy wspomniane "arp permit-..."
jak chcesz skontaktuj sie na priva i mogę zerknąć, a i jeszcze jedno nie wiem jak podmieniasz te firewalle (chyba że to tylko upgrade) bo jeszcze są kwiatki z czyszczeniem ARPow na NATach.
NATy statyczne są konwertowane prakatycznie 100% ok, mówię o ASA5520, ale ten FWM tool pewnie to pewnie to samo podejście, inne to już różnie i " sh run start error" to Twój najlepszy przyjaciel, w przeszłości miałem kiedyś sytuację że po reboocie po cichu coś wywalił jak AnyConnect bo nie znalazł pliku czy wspomniane "arp permit-..."
a masz global (vpssharedsvcs) 1 ? jak nie to masz odpowiedź jak tak to tool dał ciała, ASA5520 (tak na prawdę to jest jedna z tych o których kiedyś była afera - bo jest to 5510 podszywająca się pod 5520) daje radę.The following 'nat' command didn't have a matching 'global' rule on interface 'vpssharedsvcs' and was not migrated.
nat (ril) 1 10.0.0.0 255.0.0.0
robiłem tego na prawdę sporo, ale nie przypominam sobie deny w NAT ACL to nie PBR - i szczerze powiedziawszy nie powinien tam być , pare lat temu był bug i firewall się zapętlał przy bootowaniu w takiej konfiguracji.WARNING: The following 'nat exempt' rule with "deny" access-list was replaced by an estimated NAT rule.
nat (ril) 0 access-list TEST-RIL-NONAT
jak chcesz skontaktuj sie na priva i mogę zerknąć, a i jeszcze jedno nie wiem jak podmieniasz te firewalle (chyba że to tylko upgrade) bo jeszcze są kwiatki z czyszczeniem ARPow na NATach.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: Cisco ASA - NAT konwerter
Robie upgrade z 8.2 do 9.1mihu pisze: ↑24 lis 2017, 23:20 osobiście nie ufam temu tool-owi. jest też inny do konwersji z NetScreena (w miarę ok ale dużo trzeba korygować) i CheckPointa - robi tylko global ACL ale przy FTD już się poddałem bo tam tak samo.
NATy statyczne są konwertowane prakatycznie 100% ok, mówię o ASA5520, ale ten FWM tool pewnie to pewnie to samo podejście, inne to już różnie i " sh run start error" to Twój najlepszy przyjaciel, w przeszłości miałem kiedyś sytuację że po reboocie po cichu coś wywalił jak AnyConnect bo nie znalazł pliku czy wspomniane "arp permit-..."
a masz global (vpssharedsvcs) 1 ? jak nie to masz odpowiedź jak tak to tool dał ciała, ASA5520 (tak na prawdę to jest jedna z tych o których kiedyś była afera - bo jest to 5510 podszywająca się pod 5520) daje radę.The following 'nat' command didn't have a matching 'global' rule on interface 'vpssharedsvcs' and was not migrated.
nat (ril) 1 10.0.0.0 255.0.0.0
robiłem tego na prawdę sporo, ale nie przypominam sobie deny w NAT ACL to nie PBR - i szczerze powiedziawszy nie powinien tam być , pare lat temu był bug i firewall się zapętlał przy bootowaniu w takiej konfiguracji.WARNING: The following 'nat exempt' rule with "deny" access-list was replaced by an estimated NAT rule.
nat (ril) 0 access-list TEST-RIL-NONAT
jak chcesz skontaktuj sie na priva i mogę zerknąć, a i jeszcze jedno nie wiem jak podmieniasz te firewalle (chyba że to tylko upgrade) bo jeszcze są kwiatki z czyszczeniem ARPow na NATach.
Podrzuce ci konfig na priv, ale to jutro ok ?
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska