Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 02:33



Ответить на тему  [ Сообщений: 8 ] 
Cisco ASA 5505 NAT 
Автор Сообщение

Зарегистрирован: 27 окт 2013, 15:46
Сообщения: 73
Всем привет!

Довольно тривиальная задача,

Cisco ASA 5505

Cisco Adaptive Security Appliance Software Version 9.2(4)33
Device Manager Version 7.10(1)

Настроен ASDM и Anyconnect, на кастомные порты, все работает корректно.

Пришло время обычного portforwarding

object network SERVER
host 10.1.1.1

object network SERVER
nat (inside,outside) static interface service tcp 80 80

И тут как бы я с бубном не танцевал, всегда получаю такую ошибку
Вложение:
1.jpg
1.jpg [ 21.02 КБ | Просмотров: 5614 ]


в ACL
inside,outisde,global ( Permit any any )

Единственное отличие от например прошло раза, я использую vpdn группу на outside интерфейсе

int vlan 1
inside
int vlan 2
outside
+ vpdn group

Тут всегда пусто

Auto NAT Policies (Section 2)
1 (inside) to (outside) source static SERVER interface service tcp www www
translate_hits = 0, untranslate_hits = 0


Создал NAT и сделал ACL, что я не учел ?


28 ноя 2018, 17:02
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
в логе чётко написано нужно разрешить на интерфейсе outside входящий трафик в вашем случ http


28 ноя 2018, 20:27
Профиль

Зарегистрирован: 27 окт 2013, 15:46
Сообщения: 73
root99 писал(а):
в логе чётко написано нужно разрешить на интерфейсе outside входящий трафик в вашем случ http


Да, конечно, это первое что я дебажил.

Но как я и сказал, везде permit any any

Что бы я не делал с правилами, не указал конкретно разрешающие или аллин на permit.

Например делаю any to outside http permit, он игнорирует это правило и всеравно выдает такую ошибку.

Type -
ACCESS-LIST
Action -
DROP
Show rule in Access Rules table. ( обычно, когда клиаешь, то выделяет этот ACL, в моем случае, просто перерабсывает на список ACLs )
Config
Implicit Rule

Всегда через packettracer показывает Implicit Rule

Единственное implicit Rule - это глобальная deny, ее нельзя убрать.

Но это не имеет значения, потому что первое правило permit any any.

Я перкрасно понимаю набор команд который я ввожу, в лабе все работает, на моей асе нет. ( и ранее все работало, через IPoE )

Единственный вариант, что я не до конца понимаю фишки с vpdn группой и ppoe подключением.
или с interface vlan'ми


28 ноя 2018, 22:48
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Зырьте paket tracer, ASA наркоманская вещь.


29 ноя 2018, 01:18
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
показывайте конфиг тогда


29 ноя 2018, 12:08
Профиль

Зарегистрирован: 27 окт 2013, 15:46
Сообщения: 73
Наверно я давно не касался ната

очевидно я напутал очередность и у меня изначально не должно было работать.

Если делаю все в object nat'e ( заработало )

object network exchange
host 1.1.1.1

object service exchange_tcp
service tcp destination eq https
service tcp destination eq smtp

nat (inside,outside) source static exchange interface service exchange_tcp exchange_tcp

object network Servers_x
subnet 2.2.2.0 255.255.255.0
object network Servers_y
subnet 3.3.3.0 255.255.255.0
object network GuestWiFi
subnet 4.4.4.0 255.255.255.0


object-group network inside
network-object object Servers_x
network-object object Servers_y
network-object object GuestWiFi

nat (inside,outside) after-auto source dynamic inside interface

Ранее, для inside ( все сети для выходна в интернет ) я сделал через nat, затем пытался делать через object nat portforwarding

Очевидно делать так не стоило..

Так как сначала отрабатывался nat ( в пул которого входил опубликованый сервис ), а только потом object nat.

Наверно так ?


29 ноя 2018, 12:49
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Liks писал(а):
Например делаю any to outside http permit, он игнорирует это правило и всеравно выдает такую ошибку.


У вас версия 9+, нужно делать any to host 1.1.1.1


29 ноя 2018, 13:17
Профиль

Зарегистрирован: 27 окт 2013, 15:46
Сообщения: 73
Lomax писал(а):
Liks писал(а):
Например делаю any to outside http permit, он игнорирует это правило и всеравно выдает такую ошибку.


У вас версия 9+, нужно делать any to host 1.1.1.1


Да все верно, после 8.3 нужно указывать приватный

В итоге корректно пробросил почтарь так + интернет для внутренних сетей

object network exchange_https
host 1.1.1.1

object network exchange_https
nat (inside,outside) static interface service tcp https https

object network exchange_smtp
host 1.1.1.1

object network exchange_smtp
nat (inside,outside) static interface service tcp smtp smtp

#

object network Servers_x
subnet 1.1.1.0 255.255.255.0
object network Servers_y
subnet 3.3.3.0 255.255.255.0
object network GuestWiFi
subnet 4.4.4.0 255.255.255.0

object-group network inside
network-object object Servers_x
network-object object Servers_y
network-object object GuestWiFi

nat (inside,outside) after-auto source dynamic inside interface

ну и ACL на outside, для smtp и https протокола

Всем спасибо.


29 ноя 2018, 14:51
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 60


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB