Problem z DHCP którego nie ma ASA-5506x
Problem z DHCP którego nie ma ASA-5506x
Mam problem z ASA-5506x FTD. Mam DHCP na Windows server 2016 w Asie mam wyłączony dhcp. Jak mam podłączoną sieć do ASA to windows nie przydziela IP. Próbkuje i co chwila wrzuca błąd address already in use. Jak tylko odepnę ASA to od razu wszystko jest ok. Już kompletnie straciłem pomysły. Restartowałem wszystkie urządzenia. ASA nie ma dhcp. Autokonfigurację DHCP też mam wyułączoną. Nie mam pojęcia czego szukać .
Będę wdzięczny za wszelką pomoc.
Będę wdzięczny za wszelką pomoc.
Re: Problem z DHCP którego nie ma ASA-5506x
Tak strzelam ale moze masz konfiguracje NAT z interfejsem any i nie dopisanym no-proxy-arp co moze spowodowac ze asa prezentuje sie wszystkimi adresami z LAN.
Wysłane z mojego ELE-L29 przy użyciu Tapatalka
Wysłane z mojego ELE-L29 przy użyciu Tapatalka
Re: Problem z DHCP którego nie ma ASA-5506x
Hej,
droga ktora wskazal "dante999" brzmi bardzo rozsadnie, sprawdz konfiguracje NAT.
Pozdruffka!
droga ktora wskazal "dante999" brzmi bardzo rozsadnie, sprawdz konfiguracje NAT.
Pozdruffka!
Re: Problem z DHCP którego nie ma ASA-5506x
Wielkie dzięki,
Rzeczywiście to dobry trop. W zasadzie z automatu zawsze jest odznaczone na wszystkich interfejsach. Problem robił mój błędny wpis. Wciąż nie potrafię zrobić by mi przekierowanie portów zadziałał. Jakoś nie potrafię tego ogarnąć. Testując na wszystkie sposoby na porcie do DNS pulpitu zrobiłem wpis any any i to robiło kocioł. Możecie jeszcze mi poradzić co mam wpisać by mi zadziałało przekierowanie portu na DNS?
Będę wdzięczny za pomoc.
Rzeczywiście to dobry trop. W zasadzie z automatu zawsze jest odznaczone na wszystkich interfejsach. Problem robił mój błędny wpis. Wciąż nie potrafię zrobić by mi przekierowanie portów zadziałał. Jakoś nie potrafię tego ogarnąć. Testując na wszystkie sposoby na porcie do DNS pulpitu zrobiłem wpis any any i to robiło kocioł. Możecie jeszcze mi poradzić co mam wpisać by mi zadziałało przekierowanie portu na DNS?
Będę wdzięczny za pomoc.
Re: Problem z DHCP którego nie ma ASA-5506x
Wyjście do Internetu (PAT):
Wystawienie portu:
Jakbyś robił statyczny nat to dopisz na końcu no-proxy-arp:
Kod: Zaznacz cały
object network obj-lan-inside
nat (inside,outside) dynamic interface
Kod: Zaznacz cały
object network obj-adres-z-inside
nat (inside,outside) static ADRES-PUBLICZNY service udp 53 53
Kod: Zaznacz cały
nat (any,zone-y) source static obj-x obj-x destination static obj-y obj-y no-proxy-arp
Re: Problem z DHCP którego nie ma ASA-5506x
Niestety w FPTD nie ma cli. Jedyna opcja jak można to konfigurować, to przez webgui. Nie potrafię tego zrobić tak by działało mi przekierowanie portów np. na zdalny pulpit. Na załączonych screenach próbowałem przekierować port 33200 na komputer dell2018 (DELL2018 = HOST 192.168.0.200). Próbowałem różnych wariacji i jakoś nie potrafię go zmusić do działania. Ani na na porcie 33200 ani dns .
konfiguruję przez to okno:
konfiguruję przez to okno:
Re: Problem z DHCP którego nie ma ASA-5506x
Jest CLI, tylko przez SSH. Sprawdziles dokumentacje?
Re: Problem z DHCP którego nie ma ASA-5506x
według mnie cli przez ssh oczywiście jest ale wielopoziomowe i z tego co doczytałem FP TD nie da się przez ssh skonfigurować . Być może błądzę ale mi się nie udało wejść do normalnego conf-t
Re: Problem z DHCP którego nie ma ASA-5506x
Hej,
CLI jest oczywiscie wylacznie do weryfikacji, sama konfiguracja wykonywana jest przez GUI (FMC lub FDM).
Ta konfiguracja jest dosyc prosta, o ile nie zapomnisz o:
1. definicji static NAT z port forwarding (mapped & real port)
2. definicji dedykowanej reguly w ACP, ktora zezwala na ten ruch z outside do inside, ALE na prawdziwy IP i port, a nie ten zmapowany
Wazne jest rowniez, aby zwrocic uwage na kolejnosc przetwarzania regul NAT, jesli masz kilka roznych (1. manual NAT, 2. auto NAT /a. static NAT, b. dynamic NAT/, 3. manual NAT after auto. Moze masz sytuacje, w ktorej bardziej ogolna regula jest stworzona w tym samym rodzaju NAT i jest wyzej, wiec wystapi sytuacja "rule preemption" i twoja szczegolowa regula nie jest przetwarzana.
Sprawdz szczegolowo swoj konfig przez CLI:
Pozdruffka!
CLI jest oczywiscie wylacznie do weryfikacji, sama konfiguracja wykonywana jest przez GUI (FMC lub FDM).
Ta konfiguracja jest dosyc prosta, o ile nie zapomnisz o:
1. definicji static NAT z port forwarding (mapped & real port)
2. definicji dedykowanej reguly w ACP, ktora zezwala na ten ruch z outside do inside, ALE na prawdziwy IP i port, a nie ten zmapowany
Wazne jest rowniez, aby zwrocic uwage na kolejnosc przetwarzania regul NAT, jesli masz kilka roznych (1. manual NAT, 2. auto NAT /a. static NAT, b. dynamic NAT/, 3. manual NAT after auto. Moze masz sytuacje, w ktorej bardziej ogolna regula jest stworzona w tym samym rodzaju NAT i jest wyzej, wiec wystapi sytuacja "rule preemption" i twoja szczegolowa regula nie jest przetwarzana.
Sprawdz szczegolowo swoj konfig przez CLI:
Kod: Zaznacz cały
show nat detail
Re: Problem z DHCP którego nie ma ASA-5506x
No właśnie. Konfiguracja przez FMC albo FDM. Przez FDM to jakiś dramat. Nie wiem czy mam jakąś pętlę ale każdy deploy trwa 3 do 5 min
W ogóle FDM działa makabrycznie wolno. Czy jak mam już skonfigurowanego ASA to mogę przesiąść się z FDM na FMC (configure manager add ) i odwrotnie (Configure manager delete, Configure manager local)? czy stracę konfigurację?
Pytam bo teraz jestem daleko od ASA i jak coś mi nie pójdzie to zdalnie się nie połączę
Co do przekierowania portów to "poczytałem internet" przez noc i w końcu coś wymodziłem.
'
Teraz przekierowanie portu już działa.
Show nat detail pokazuje dla tej reguły:
10 (nlp_int_tap) to (outside) source dynamic nlp_client_0_intf11 interface
translate_hits = 265, untranslate_hits = 2
Source - Origin: 169.254.1.2/32, Translated: xx.xx.xx.xx/24 (xx.xx.xx.xx mój zewnętrzny ip)
Mam jeszcze kilka problemów których nie rozumiem.
1. W moim starym cisco wpisywałem: ip nat inside source static udp 192.168.0.200 53 xx.xx.xx.xx 53 extendable i dzaiałał
w ASA nie wiem jak użyć tego samego adresu IP co outside. Tworzę object ServerPublicIP ale musi on być inny niż outside. Czy można to jakoś zrobić na jednym IP? Pierwszy interfejs mam skonfigurowany jako static i przypisany publicIP. W związku z tym nie mogę utworzyć object ServerPublicIP o takim samym adresie. Przepraszam jak zamotałem
2. następna rzecz to nie wiem jak przypisać role do wszystkich portów. W oknie Edit NAT role ->oryginal packet-> source interface mogę wybrać tylko pojedyncze interfejsy.
W ogóle FDM działa makabrycznie wolno. Czy jak mam już skonfigurowanego ASA to mogę przesiąść się z FDM na FMC (configure manager add ) i odwrotnie (Configure manager delete, Configure manager local)? czy stracę konfigurację?
Pytam bo teraz jestem daleko od ASA i jak coś mi nie pójdzie to zdalnie się nie połączę
Co do przekierowania portów to "poczytałem internet" przez noc i w końcu coś wymodziłem.
'
Teraz przekierowanie portu już działa.
Show nat detail pokazuje dla tej reguły:
10 (nlp_int_tap) to (outside) source dynamic nlp_client_0_intf11 interface
translate_hits = 265, untranslate_hits = 2
Source - Origin: 169.254.1.2/32, Translated: xx.xx.xx.xx/24 (xx.xx.xx.xx mój zewnętrzny ip)
Mam jeszcze kilka problemów których nie rozumiem.
1. W moim starym cisco wpisywałem: ip nat inside source static udp 192.168.0.200 53 xx.xx.xx.xx 53 extendable i dzaiałał
w ASA nie wiem jak użyć tego samego adresu IP co outside. Tworzę object ServerPublicIP ale musi on być inny niż outside. Czy można to jakoś zrobić na jednym IP? Pierwszy interfejs mam skonfigurowany jako static i przypisany publicIP. W związku z tym nie mogę utworzyć object ServerPublicIP o takim samym adresie. Przepraszam jak zamotałem
2. następna rzecz to nie wiem jak przypisać role do wszystkich portów. W oknie Edit NAT role ->oryginal packet-> source interface mogę wybrać tylko pojedyncze interfejsy.
Re: Problem z DHCP którego nie ma ASA-5506x
Hej,
tak, stracisz, nie zmienia sie FDM/FMC zdalnie. A ze wolno.... Coz, to jeszcze "starszy" sensor bazujacy na 5506, nowe 1010 sa szybsze
Co do NAT - definiujesz interfejsy (source/destination) i robisz translacje na destination Interface, tym sposobem mozesz wiele roznych portow przekierowac z outside/Public na INSIDE/dmz.
Pozdruffka!
tak, stracisz, nie zmienia sie FDM/FMC zdalnie. A ze wolno.... Coz, to jeszcze "starszy" sensor bazujacy na 5506, nowe 1010 sa szybsze
Co do NAT - definiujesz interfejsy (source/destination) i robisz translacje na destination Interface, tym sposobem mozesz wiele roznych portow przekierowac z outside/Public na INSIDE/dmz.
Pozdruffka!
Re: Problem z DHCP którego nie ma ASA-5506x
Ah jeszcze co do szybkosci dzialania - ze wzgledu na ograniczenie sprzetowe, na 5506 pojdzie max. soft 6.2.3, natomiast Cisco "poprawilo" szybkosc deploymentu i jakosc softu znaczaco od wersji 6.3, a obecny 6.5 dziala naprawde swietnie (6.4.0.4/6 tez, jest zreszta polecany jako "sprawdzony w boju").
Pozdruffka!
Pozdruffka!
Re: Problem z DHCP którego nie ma ASA-5506x
Dzięki za odpowiedź, sprawdziłem wcześnie i rzeczywiście potwierdziłeś moje doświadczenie. Nie da się zdalnie (w sensie da się ale odłączy mnie) zmienić managera. Cóż muszę się wiele jeszcze nauczyć widzę, bo FTD to kompletnie inna filozofia.
Jednak dla potomnych, dzięki temu doświadczeniu nauczyłem się resetować konfigurację ASA FTD do 0 (do default). Wcześniej szukałem w necie i jedynie jaka poradę znalazłem to wgranie softu FTD od nowa co zajmuje 1,5h. A tu proszę wystarczy zmienić managera i konfiguracja czysta w 5 min. Ile razy ja już ten soft instalowałem a to takie proste.
Ok ale do rzeczy.
Widzę, że nie ma co konfigurować przez FDM bo z tego co czytam ma sporo ograniczeń. Popraw mnie jak się mylę ale nie da się przez FDM zestawić VPN.
No więc teraz już mam FMC i zaczynam od początku
Jak pozwolisz skorzystać z Twojego doświadczenia (pomocy) to podpowiedz prozę czy jest możliwość podniesienia albo skonfigurowania portu z poziomu terminala ssh? Znaczy jak zmieniam managera to jedyna port jaki się podnosi to port managera. Port FastEthernet są down. Czy bez logowanie się przez FMC jestem w stanie np zmienić ip na porcie i go podnieść czy dopiero podłączając FMC mogę to zrobić przez GUI?
Jednak dla potomnych, dzięki temu doświadczeniu nauczyłem się resetować konfigurację ASA FTD do 0 (do default). Wcześniej szukałem w necie i jedynie jaka poradę znalazłem to wgranie softu FTD od nowa co zajmuje 1,5h. A tu proszę wystarczy zmienić managera i konfiguracja czysta w 5 min. Ile razy ja już ten soft instalowałem a to takie proste.
Ok ale do rzeczy.
Widzę, że nie ma co konfigurować przez FDM bo z tego co czytam ma sporo ograniczeń. Popraw mnie jak się mylę ale nie da się przez FDM zestawić VPN.
No więc teraz już mam FMC i zaczynam od początku
Jak pozwolisz skorzystać z Twojego doświadczenia (pomocy) to podpowiedz prozę czy jest możliwość podniesienia albo skonfigurowania portu z poziomu terminala ssh? Znaczy jak zmieniam managera to jedyna port jaki się podnosi to port managera. Port FastEthernet są down. Czy bez logowanie się przez FMC jestem w stanie np zmienić ip na porcie i go podnieść czy dopiero podłączając FMC mogę to zrobić przez GUI?
Re: Problem z DHCP którego nie ma ASA-5506x
Hej,
dokladnie tak, reset konfiguracji najszybszy jest wlasnie przez dodanie/usuniecie managera (FMC). Co do VPN - zalezy od softu, od 6.1 (z pre-shared keys) powinna byc taka mozliwosc o ile dobrze pamietam, a od 6.2 z pewnoscia. Na temat interfejsow - nalezy rozroznic management interface, ktory sie nie polozy i zachowa swoja konfiguracje, oraz data-plane interfejsy, ktore zostana zresetowane. O ile masz port "management" podlaczony do sieci i skonfigurowany pod dostep SSH/HTTTPs, to nie widze problemu, nie stracisz lacznosci z sensorem, choc "pelna" konfiguracja odbywa sie przez FDM lub FMC, nie przez CLI. W "porzadnej" sieci powinien byc oczywiscie dodatkow dostep do konsoli urzadzenia
Pozdruffka!
dokladnie tak, reset konfiguracji najszybszy jest wlasnie przez dodanie/usuniecie managera (FMC). Co do VPN - zalezy od softu, od 6.1 (z pre-shared keys) powinna byc taka mozliwosc o ile dobrze pamietam, a od 6.2 z pewnoscia. Na temat interfejsow - nalezy rozroznic management interface, ktory sie nie polozy i zachowa swoja konfiguracje, oraz data-plane interfejsy, ktore zostana zresetowane. O ile masz port "management" podlaczony do sieci i skonfigurowany pod dostep SSH/HTTTPs, to nie widze problemu, nie stracisz lacznosci z sensorem, choc "pelna" konfiguracja odbywa sie przez FDM lub FMC, nie przez CLI. W "porzadnej" sieci powinien byc oczywiscie dodatkow dostep do konsoli urzadzenia
Pozdruffka!
Re: Problem z DHCP którego nie ma ASA-5506x
No uczę się uczę i każdego dnia jestem trochę dalej . Ale bycie samoukiem to nie jest najprostsza ścieżka.
Próbuje ogarnąć FMC i niestety wciąż nie potrafię go zmusić do łączności z internetem. Podglądam jak wygląda running-config pod FTD i FMC i już wygląda w zasadzie identyczni ale internet nie działa. Nie wiem czy to za sprawą ACL czy czego. ASA do testów podłączam w sieć 192.168.0.0 brama to 192.168.0.1
Tak wygląda mój NAT, Route i ACL. Możesz mi podpowiedzieć co robię nie tak:
> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet1/1 outside 192.168.0.29 255.255.255.0 CONFIG
GigabitEthernet1/2 insideGb1_2 192.168.1.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet1/1 outside 192.168.0.29 255.255.255.0 CONFIG
GigabitEthernet1/2 insideGb1_2 192.168.1.1 255.255.255.0 CONFIG
>
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.0.1 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.0.1, outside
C 192.168.0.0 255.255.255.0 is directly connected, outside
L 192.168.0.29 255.255.255.255 is directly connected, outside
C 192.168.1.0 255.255.255.0 is directly connected, insideGb1_2
L 192.168.1.1 255.255.255.255 is directly connected, insideGb1_2
> show nat
Manual NAT Policies (Section 1)
1 (insideGb1_2) to (outside) source dynamic any interface
translate_hits = 316, untranslate_hits = 0
> show running-config nat
nat (insideGb1_2,outside) source dynamic any interface
> show running-config access-list
access-list CSM_FW_ACL_ remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy
access-list CSM_FW_ACL_ remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268436483: ACCESS POLICY: inside_otside_policy - Default
access-list CSM_FW_ACL_ remark rule-id 268436483: L7 RULE: in_in_rule
access-list CSM_FW_ACL_ advanced permit ip ifc insideGb1_2 any ifc insideGb1_2 any rule-id 268436483
access-list CSM_FW_ACL_ remark rule-id 268436484: ACCESS POLICY: inside_otside_policy - Default
access-list CSM_FW_ACL_ remark rule-id 268436484: L7 RULE: in_out_rule
access-list CSM_FW_ACL_ advanced permit ip ifc insideGb1_2 any ifc outside any rule-id 268436484
access-list CSM_FW_ACL_ remark rule-id 268436482: ACCESS POLICY: inside_otside_policy - Default
access-list CSM_FW_ACL_ remark rule-id 268436482: L4 RULE: DEFAULT ACTION RULE
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268436482 event-log flow-end
Próbuje ogarnąć FMC i niestety wciąż nie potrafię go zmusić do łączności z internetem. Podglądam jak wygląda running-config pod FTD i FMC i już wygląda w zasadzie identyczni ale internet nie działa. Nie wiem czy to za sprawą ACL czy czego. ASA do testów podłączam w sieć 192.168.0.0 brama to 192.168.0.1
Tak wygląda mój NAT, Route i ACL. Możesz mi podpowiedzieć co robię nie tak:
> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet1/1 outside 192.168.0.29 255.255.255.0 CONFIG
GigabitEthernet1/2 insideGb1_2 192.168.1.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet1/1 outside 192.168.0.29 255.255.255.0 CONFIG
GigabitEthernet1/2 insideGb1_2 192.168.1.1 255.255.255.0 CONFIG
>
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.0.1 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.0.1, outside
C 192.168.0.0 255.255.255.0 is directly connected, outside
L 192.168.0.29 255.255.255.255 is directly connected, outside
C 192.168.1.0 255.255.255.0 is directly connected, insideGb1_2
L 192.168.1.1 255.255.255.255 is directly connected, insideGb1_2
> show nat
Manual NAT Policies (Section 1)
1 (insideGb1_2) to (outside) source dynamic any interface
translate_hits = 316, untranslate_hits = 0
> show running-config nat
nat (insideGb1_2,outside) source dynamic any interface
> show running-config access-list
access-list CSM_FW_ACL_ remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy
access-list CSM_FW_ACL_ remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268436483: ACCESS POLICY: inside_otside_policy - Default
access-list CSM_FW_ACL_ remark rule-id 268436483: L7 RULE: in_in_rule
access-list CSM_FW_ACL_ advanced permit ip ifc insideGb1_2 any ifc insideGb1_2 any rule-id 268436483
access-list CSM_FW_ACL_ remark rule-id 268436484: ACCESS POLICY: inside_otside_policy - Default
access-list CSM_FW_ACL_ remark rule-id 268436484: L7 RULE: in_out_rule
access-list CSM_FW_ACL_ advanced permit ip ifc insideGb1_2 any ifc outside any rule-id 268436484
access-list CSM_FW_ACL_ remark rule-id 268436482: ACCESS POLICY: inside_otside_policy - Default
access-list CSM_FW_ACL_ remark rule-id 268436482: L4 RULE: DEFAULT ACTION RULE
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268436482 event-log flow-end