ASA i NAT

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
Paula25
fresh
fresh
Posty: 9
Rejestracja: 20 mar 2009, 10:46

ASA i NAT

#1

#1 Post autor: Paula25 »

Witam wszystkich serdecznie. Przepraszam za poziom mojego pytania, wiem ze jest dosc "lamerskie" ale...poczatki sa trudne...:( Wczesniej miala doczynienia z routerami, ale jesli chodzi o ASA to bawie się tym dopieru od paru dni.

Zatem, jestem posiadaczką modelu ASA 5510 i chcialam skonfigurowac nat
by wszyscy z mojej podsieci 192.168.1.0/24 wychodzili przez 83.10.10.1
na eth 0/0 mam
83.10.10.1 (outside)
na eth 0/2
192.168.1.1 (inside)

Puszczam pingi w swiat z ASA'y, tak samo pingi z kompa (192.168.1.2) na ASE.
Niestety, nie chodza pingi z wewnatrz na swiat ani tesh na 83.10.10.1
show route pokazuje:

C 83.10.10.1 255.255.255.128 is directly connected, outside
C 192.168.1.1 255.255.255.0 is directly connected, inside
S 0.0.0.0 0.0.0.0 [1/0] via 83.10.10.1, inside

Domyslam sie ze tutaj potrzebna jest jeszcze access-lista...

Czy moglabym prosic o ewentualną pomoc przy utworzeniu tej konfiguracji, pokazanie krok po kroku jak to powinno wygladac?

Czy jest dostepna jakas literatura dla osob tak malo wtajemniczonych jak ja?

Z góry dziekuje za pomoc
Paula
Na górę
Awatar użytkownika
Graf_Zero
member
member
Posty: 29
Rejestracja: 24 sty 2009, 12:23

#2

#2 Post autor: Graf_Zero »

Hallo,

sprobuj poszukac tutaj:

http://www.cisco.com/en/US/products/ps6 ... _list.html

Pozdrawiam
Zero
Na górę
Awatar użytkownika
dzogurt
CCIE
CCIE
Posty: 412
Rejestracja: 07 maja 2008, 11:58
Lokalizacja: Ostrava CZ

#3

#3 Post autor: dzogurt »

Paula25 pisze: S 0.0.0.0 0.0.0.0 [1/0] via 83.10.10.1, inside
Powinno byc:

Kod: Zaznacz cały

route outside 0 0 83.10.10.1
ICMP z komputera na zewnatrz (Outside) przejdzie przez FW ze wzgledu na security-level ale icmp echo reply nie zostanie wpuszczone z powrotem. Powinnas dodac ACL na interfejsie Outside w kierunku in pozwalajaca icmp echo reply:

Kod: Zaznacz cały

access-list Out_IN permit icmp any 192.168.1.0 255.255.255.0 echo reply
Drugi sposob to dodanie do "inspect" protokolu ICMP.

Gdy cos ci nie dziala i nie wiesz dlaczego, sprobuj wlaczyc debug na ruch ktory cie interesuje, zobaczysz czy packiety sa przesylane w dobrym kierunku. Mozesz sprobowac tez komedy packet-tracer.

Pozdr,
All men by nature desire knowledge
http://www.linkedin.com/in/marcinduma
Na górę
Awatar użytkownika
dzogurt
CCIE
CCIE
Posty: 412
Rejestracja: 07 maja 2008, 11:58
Lokalizacja: Ostrava CZ

#4

#4 Post autor: dzogurt »

w poprzednim poscie nie wspomnialem o NAT a w zasadzie o PAT:

Kod: Zaznacz cały

nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 interface
All men by nature desire knowledge
http://www.linkedin.com/in/marcinduma
Na górę
Paula25
fresh
fresh
Posty: 9
Rejestracja: 20 mar 2009, 10:46

#5

#5 Post autor: Paula25 »

Dziekuje wszystkim za pomoc, w koncu sie udalo.
W tej chwili mam polaczenie miedzy inside i outside ale...

Dlaczego z outside ktory jest podlaczone do eth 0/0 nie mma wyjscia na swiat, tzn wszystko co jest w sieci mi odpowiada ale tak jakby nie bylo routingu dalej...

Tzn odpowiada mi icmp na 83.10.10.2 ,3, 4 itd ale nie np 85.10.10.1
i Jeszcze jedno, jak sie ma port managment do tego wszystkiego?

Paula
Na górę
Awatar użytkownika
dzogurt
CCIE
CCIE
Posty: 412
Rejestracja: 07 maja 2008, 11:58
Lokalizacja: Ostrava CZ

#6

#6 Post autor: dzogurt »

Paula25 pisze: Dlaczego z outside ktory jest podlaczone do eth 0/0 nie mma wyjscia na swiat, tzn wszystko co jest w sieci mi odpowiada ale tak jakby nie bylo routingu dalej...

Tzn odpowiada mi icmp na 83.10.10.2 ,3, 4 itd ale nie np 85.10.10.1
Moze nie ma routingu dalej, na innym urzadzeniu do Tw sieci... Ty masz routing na zewnatrz ale ktos moze nie miec trasy do ciebie.

Nie znamy topologi sieci, wiec jesli przyblizysz nam ja to moze cos pomozemy :)
All men by nature desire knowledge
http://www.linkedin.com/in/marcinduma
Na górę
Paula25
fresh
fresh
Posty: 9
Rejestracja: 20 mar 2009, 10:46

#7

#7 Post autor: Paula25 »

hm... czy to urzadzenie tzn ASA 5510 moze pracowac jako router brzegowy ?
tzn moj address 83.10.10.1 jest ostatnim adresem, dalej nie ma juz nic " mojego" :)

lan >> asa >> swiat
eth 0/2 eth 0/0

Dzięki za zainteresowanie :)
Paula

jeszcze jedno, mozecie mi powiedziec jaki jest tutaj odpowiednik "erase nvram" ?
Na górę
Awatar użytkownika
dzogurt
CCIE
CCIE
Posty: 412
Rejestracja: 07 maja 2008, 11:58
Lokalizacja: Ostrava CZ

#8

#8 Post autor: dzogurt »

Paula pisze:hm... czy to urzadzenie tzn ASA 5510 moze pracowac jako router brzegowy ?
tzn moj address 83.10.10.1 jest ostatnim adresem, dalej nie ma juz nic " mojego" :)

lan >> asa >> swiat
eth 0/2 eth 0/0
Moze byc urzadzeniem brzegowym. Mozesz nam przeslac cala konfiguracje? Zobaczymy co jest nie tak.
Paula25 pisze:jeszcze jedno, mozecie mi powiedziec jaki jest tutaj odpowiednik "erase nvram" ?

Kod: Zaznacz cały

To erase the startup configuration, enter the following command:
hostname(config)# write erase
• To erase the running configuration, enter the following command:
hostname(config)# clear configure all
All men by nature desire knowledge
http://www.linkedin.com/in/marcinduma
Na górę
grzes1981
CCIE
CCIE
Posty: 23
Rejestracja: 16 lut 2007, 23:32

#9

#9 Post autor: grzes1981 »

Paula25 pisze: Tzn odpowiada mi icmp na 83.10.10.2 ,3, 4 itd ale nie np 85.10.10.1
i Jeszcze jedno, jak sie ma port managment do tego wszystkiego?

Paula
moim zdaniem masz źle ustawiony routing domyślny

adres interfejsu masz 83.10.10.1
i brame masz ustawioną na interfejs 83.10.10.1
pewnie route outside 0 0 83.10.10.1

a powinien być na adres bramy np. 83.10.10.1

EDIT: Poprawilem znacznik
Seba
Ostatnio zmieniony 21 mar 2009, 13:00 przez grzes1981, łącznie zmieniany 1 raz.
Na górę
Paula25
fresh
fresh
Posty: 9
Rejestracja: 20 mar 2009, 10:46

#10

#10 Post autor: Paula25 »

Dokladnie tak, byla zle ustawiona brama!

Jeszcze raz chcialam wszystkim podziekowac za pomoc.

Paula
Na górę
ODPOWIEDZ

Wróć do „Security”