Cisco ASA - NAT konwerter

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
Awatar użytkownika
Wojtachinho
wannabe
wannabe
Posty: 1665
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

Cisco ASA - NAT konwerter

#1

#1 Post autor: Wojtachinho » 24 lis 2017, 14:29

Hej,

Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1

Pzdr
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Do you have questions about CCIE.pl board ?
Just mail me :) patryk@ccie.pl

mihu
wannabe
wannabe
Posty: 745
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Cisco ASA - NAT konwerter

#2

#2 Post autor: mihu » 24 lis 2017, 16:28

Wojtachinho pisze:
24 lis 2017, 14:29
Hej,

Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1

Pzdr
ja mam do tego celu "staging" ASA5520:
- wrzucam config klienta do 8.2.x , "no nat-control" jesli byl w konfigu
- upgrade do 8.4.6
- werifykacja
- upgrade do 9.1.x
- mala modyfikacja dla ASAX (interfejsy)
- przerzucenie konfigu na ASAX i upgrade do 9.6/8
- dodanie "arp permit non-connected" dla swietego spokoju

jest tez Cisco online tool : https://fwm.cisco.com , testowalem pare razy, pomielil config pare godzin i wyplul ze nie da rady. Metoda z Asa zawsze sie sprawdza ( a robiłem już sporo migracji), wiec nie zmieniam podejscia. Przydaje sie tez do migracji do FTD ale potem jest jeszcze krok ze staging FMC do migracji konfigu i przemielenia na FTD style i wrzucenie do produkcyjnego ale ta metoda dziala tylko dla ACLek na interfejsach i NATu (ale tu sa kwiatki) reszte trzeba z palca.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
Wojtachinho
wannabe
wannabe
Posty: 1665
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

Re: Cisco ASA - NAT konwerter

#3

#3 Post autor: Wojtachinho » 24 lis 2017, 18:31

mihu pisze:
24 lis 2017, 16:28
Wojtachinho pisze:
24 lis 2017, 14:29
Hej,

Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1

Pzdr
ja mam do tego celu "staging" ASA5520:
- wrzucam config klienta do 8.2.x , "no nat-control" jesli byl w konfigu
- upgrade do 8.4.6
- werifykacja
- upgrade do 9.1.x
- mala modyfikacja dla ASAX (interfejsy)
- przerzucenie konfigu na ASAX i upgrade do 9.6/8
- dodanie "arp permit non-connected" dla swietego spokoju

jest tez Cisco online tool : https://fwm.cisco.com , testowalem pare razy, pomielil config pare godzin i wyplul ze nie da rady. Metoda z Asa zawsze sie sprawdza ( a robiłem już sporo migracji), wiec nie zmieniam podejscia. Przydaje sie tez do migracji do FTD ale potem jest jeszcze krok ze staging FMC do migracji konfigu i przemielenia na FTD style i wrzucenie do produkcyjnego ale ta metoda dziala tylko dla ACLek na interfejsach i NATu (ale tu sa kwiatki) reszte trzeba z palca.
Hej,


Ciekawy patent z ta strona.
Wyslalem swoj konfig, ciekawe czy pyknie. Jak myslisz ?
Conversion created successfully : CSCO-ASA 5550-CSCO-ASA 5555-X-20322. You will be notified over e-mail once the conversion is completed.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Do you have questions about CCIE.pl board ?
Just mail me :) patryk@ccie.pl

Awatar użytkownika
Wojtachinho
wannabe
wannabe
Posty: 1665
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

Re: Cisco ASA - NAT konwerter

#4

#4 Post autor: Wojtachinho » 24 lis 2017, 18:57

mihu pisze:
24 lis 2017, 16:28
Wojtachinho pisze:
24 lis 2017, 14:29
Hej,

Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1

Pzdr
ja mam do tego celu "staging" ASA5520:
- wrzucam config klienta do 8.2.x , "no nat-control" jesli byl w konfigu
- upgrade do 8.4.6
- werifykacja
- upgrade do 9.1.x
- mala modyfikacja dla ASAX (interfejsy)
- przerzucenie konfigu na ASAX i upgrade do 9.6/8
- dodanie "arp permit non-connected" dla swietego spokoju

jest tez Cisco online tool : https://fwm.cisco.com , testowalem pare razy, pomielil config pare godzin i wyplul ze nie da rady. Metoda z Asa zawsze sie sprawdza ( a robiłem już sporo migracji), wiec nie zmieniam podejscia. Przydaje sie tez do migracji do FTD ale potem jest jeszcze krok ze staging FMC do migracji konfigu i przemielenia na FTD style i wrzucenie do produkcyjnego ale ta metoda dziala tylko dla ACLek na interfejsach i NATu (ale tu sa kwiatki) reszte trzeba z palca.

Mihu,

Dostalem kilka bledow w pliku upgrade_startup_errors_.log
The following 'nat' command didn't have a matching 'global' rule on interface 'vpssharedsvcs' and was not migrated.
nat (ril) 1 10.0.0.0 255.0.0.0
WARNING: The following 'nat exempt' rule with "deny" access-list was replaced by an estimated NAT rule.
nat (ril) 0 access-list TEST-RIL-NONAT
Oczywiscie jest tego wiecej.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Do you have questions about CCIE.pl board ?
Just mail me :) patryk@ccie.pl

mihu
wannabe
wannabe
Posty: 745
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Cisco ASA - NAT konwerter

#5

#5 Post autor: mihu » 24 lis 2017, 23:20

osobiście nie ufam temu tool-owi. jest też inny do konwersji z NetScreena (w miarę ok ale dużo trzeba korygować) i CheckPointa - robi tylko global ACL ale przy FTD już się poddałem bo tam tak samo.

NATy statyczne są konwertowane prakatycznie 100% ok, mówię o ASA5520, ale ten FWM tool pewnie to pewnie to samo podejście, inne to już różnie i " sh run start error" to Twój najlepszy przyjaciel, w przeszłości miałem kiedyś sytuację że po reboocie po cichu coś wywalił jak AnyConnect bo nie znalazł pliku czy wspomniane "arp permit-..."
The following 'nat' command didn't have a matching 'global' rule on interface 'vpssharedsvcs' and was not migrated.
nat (ril) 1 10.0.0.0 255.0.0.0
a masz global (vpssharedsvcs) 1 ? jak nie to masz odpowiedź jak tak to tool dał ciała, ASA5520 (tak na prawdę to jest jedna z tych o których kiedyś była afera - bo jest to 5510 podszywająca się pod 5520) daje radę.
WARNING: The following 'nat exempt' rule with "deny" access-list was replaced by an estimated NAT rule.
nat (ril) 0 access-list TEST-RIL-NONAT
robiłem tego na prawdę sporo, ale nie przypominam sobie deny w NAT ACL to nie PBR - i szczerze powiedziawszy nie powinien tam być , pare lat temu był bug i firewall się zapętlał przy bootowaniu w takiej konfiguracji.

jak chcesz skontaktuj sie na priva i mogę zerknąć, a i jeszcze jedno nie wiem jak podmieniasz te firewalle (chyba że to tylko upgrade) bo jeszcze są kwiatki z czyszczeniem ARPow na NATach.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
Wojtachinho
wannabe
wannabe
Posty: 1665
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

Re: Cisco ASA - NAT konwerter

#6

#6 Post autor: Wojtachinho » 24 lis 2017, 23:55

mihu pisze:
24 lis 2017, 23:20
osobiście nie ufam temu tool-owi. jest też inny do konwersji z NetScreena (w miarę ok ale dużo trzeba korygować) i CheckPointa - robi tylko global ACL ale przy FTD już się poddałem bo tam tak samo.

NATy statyczne są konwertowane prakatycznie 100% ok, mówię o ASA5520, ale ten FWM tool pewnie to pewnie to samo podejście, inne to już różnie i " sh run start error" to Twój najlepszy przyjaciel, w przeszłości miałem kiedyś sytuację że po reboocie po cichu coś wywalił jak AnyConnect bo nie znalazł pliku czy wspomniane "arp permit-..."
The following 'nat' command didn't have a matching 'global' rule on interface 'vpssharedsvcs' and was not migrated.
nat (ril) 1 10.0.0.0 255.0.0.0
a masz global (vpssharedsvcs) 1 ? jak nie to masz odpowiedź jak tak to tool dał ciała, ASA5520 (tak na prawdę to jest jedna z tych o których kiedyś była afera - bo jest to 5510 podszywająca się pod 5520) daje radę.
WARNING: The following 'nat exempt' rule with "deny" access-list was replaced by an estimated NAT rule.
nat (ril) 0 access-list TEST-RIL-NONAT
robiłem tego na prawdę sporo, ale nie przypominam sobie deny w NAT ACL to nie PBR - i szczerze powiedziawszy nie powinien tam być , pare lat temu był bug i firewall się zapętlał przy bootowaniu w takiej konfiguracji.

jak chcesz skontaktuj sie na priva i mogę zerknąć, a i jeszcze jedno nie wiem jak podmieniasz te firewalle (chyba że to tylko upgrade) bo jeszcze są kwiatki z czyszczeniem ARPow na NATach.
Robie upgrade z 8.2 do 9.1

Podrzuce ci konfig na priv, ale to jutro ok ?
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Do you have questions about CCIE.pl board ?
Just mail me :) patryk@ccie.pl

ODPOWIEDZ