|
|
Страница 1 из 1
|
[ Сообщений: 17 ] |
|
Не могу настроить ASA 5506-Х
Автор |
Сообщение |
Windego
Зарегистрирован: 22 авг 2021, 19:07 Сообщения: 10
|
Здравствуйте.
Суть проблемы: Я студент (хоть и старый). Делаю задания в Циско пакет трейсер. 5 штук - ок, а на одном застряла. Вот тут и начинаются проблемы с межсетевым экраном. В учебных материалах ничего нет о настройке. Интернет перелазила весь. И Я не могу понять, что делаю не так. Создала топологию (всё как в задаче)
А суть задачи в том, что один комп ч помощью команды tracert узнаёт маршрут прохождения пакетов до другого компа и наоборот.
Так вот, как сделать так, что пакеты эти проходили через фаервол?
Кто-то может объяснить человеку, который впервые в жизни сталкивается с подобным?
Вот пример конфигурации на ASA2: show running-config : Saved : ASA Version 9.6(1) ! hostname ASA2 names ! interface GigabitEthernet1/1 description inside nameif inside security-level 100 ip address 192.168.20.5 255.255.255.0 ! interface GigabitEthernet1/2 nameif outside security-level 0 ip address 192.168.2.8 255.255.255.0 ! interface GigabitEthernet1/3 no nameif no security-level no ip address shutdown ! interface GigabitEthernet1/4 no nameif no security-level no ip address shutdown ! interface GigabitEthernet1/5 no nameif no security-level no ip address shutdown ! interface GigabitEthernet1/6 no nameif no security-level no ip address shutdown ! interface GigabitEthernet1/7 no nameif no security-level no ip address shutdown ! interface GigabitEthernet1/8 no nameif no security-level no ip address shutdown ! interface Management1/1 management-only no nameif no security-level no ip address shutdown ! ! route inside 0.0.0.0 0.0.0.0 192.168.2.7 1 route inside 192.168.10.0 255.255.255.0 192.168.20.2 1 route outside 192.168.1.0 255.255.255.252 192.168.2.6 1 route inside 192.168.30.0 255.255.255.0 192.168.20.2 1 route outside 192.168.8.0 255.255.255.0 192.168.2.6 1 route outside 192.168.1.0 255.255.255.0 192.168.2.6 1 route inside 192.168.3.0 255.255.255.0 192.168.20.2 1 route outside 192.168.50.0 255.255.255.0 192.168.2.6 1 route outside 192.168.80.0 255.255.255.0 192.168.2.6 1 route outside 192.168.60.0 255.255.255.0 192.168.2.6 1 route outside 192.168.7.0 255.255.255.0 192.168.2.6 1 route outside 192.168.70.0 255.255.255.0 192.168.2.6 1 route outside 192.168.4.0 255.255.255.0 192.168.2.6 1 route outside 192.168.40.0 255.255.255.0 192.168.2.6 1 route outside 192.168.5.0 255.255.255.0 192.168.2.6 1 route outside 192.168.6.0 255.255.255.0 192.168.2.6 1 route outside 192.168.9.0 255.255.255.0 192.168.2.6 1 route inside 192.168.20.0 255.255.255.0 192.168.20.2 1 route outside 192.168.2.0 255.255.255.0 192.168.2.6 1 ! ! ! ! aaa authentication ssh console LOCAL ! username ciscoadmin password 1Ir9LdCsY788Z.g. encrypted ! class-map inspection_default match default-inspection-traffic ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect tftp ! service-policy global_policy global ! telnet timeout 5 ssh 192.168.10.0 255.255.255.0 inside ssh 192.168.10.5 255.255.255.255 inside ssh 192.168.70.10 255.255.255.255 outside ssh timeout 5 ! ! ! !
Вложения:
Комментарий к файлу: Сама топология
TNWhjG5VI-Y.jpg [ 131.21 КБ | Просмотров: 7474 ]
|
23 авг 2021, 20:59 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Трафик туда и обратно ходит одинаково?
|
24 авг 2021, 00:12 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
а с чего вы взяли, что проблема в АСА2, а не в роутере перед ней?
задача на то и задача, чтобы найти решение. Откуда в ней возьмется нужная конфигурация? и в интернете видимо плохо искали - материалов о настройке АСА в сети скопилось немеряно)))
|
24 авг 2021, 10:17 |
|
|
Windego
Зарегистрирован: 22 авг 2021, 19:07 Сообщения: 10
|
Black Fox писал(а): Трафик туда и обратно ходит одинаково? Ну как ходит... Доходит до ASA и всё.
|
24 авг 2021, 11:38 |
|
|
Windego
Зарегистрирован: 22 авг 2021, 19:07 Сообщения: 10
|
aliotru писал(а): а с чего вы взяли, что проблема в АСА2, а не в роутере перед ней?
задача на то и задача, чтобы найти решение. Откуда в ней возьмется нужная конфигурация? и в интернете видимо плохо искали - материалов о настройке АСА в сети скопилось немеряно))) Так Я и ищу решение. И Я написала, что в учебных материалах нет ничего о настройке фаервола, а не в самой задаче. Ну вот пришла сюда, чтобы мне помогли понять. Это не считается за поиск в инете? Потому что, до этого Я перерыла кучу материалов. Всё делаю по ним и ничего. Более того, на скрине обозначены ограничения, которые должны быть установлены на аса, но они пока не установлены, а некоторые вообще не устанавливаются. Пишет, что команда неправильная, хотя такая же команда, но с другим ограничением работает.
|
24 авг 2021, 11:42 |
|
|
Windego
Зарегистрирован: 22 авг 2021, 19:07 Сообщения: 10
|
aliotru писал(а): а с чего вы взяли, что проблема в АСА2, а не в роутере перед ней?
задача на то и задача, чтобы найти решение. Откуда в ней возьмется нужная конфигурация? и в интернете видимо плохо искали - материалов о настройке АСА в сети скопилось немеряно))) "и в интернете видимо плохо искали" Поверьте, чтобы обратиться на форум, мне надо было отчаяться совсем. Потому как, тут всё по одному сценарию: 1. Задаёшь вопрос. 2. Тебе отвечают, почему не ищешь в инете. 3. Не получаешь никакого дельного совета. 4. Всё делаешь сам. Но на этот раз, Я не знаю как это сделать. Вот вообще. Совсем. Абсолютно.
|
24 авг 2021, 11:45 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
вы очень эмоционально реагируете)
вот эта строка ни на что не влияет вроде как, но явно некорректна route inside 0.0.0.0 0.0.0.0 192.168.2.7 1
|
25 авг 2021, 08:23 |
|
|
Windego
Зарегистрирован: 22 авг 2021, 19:07 Сообщения: 10
|
aliotru писал(а): вы очень эмоционально реагируете)
вот эта строка ни на что не влияет вроде как, но явно некорректна route inside 0.0.0.0 0.0.0.0 192.168.2.7 1 Я очень долго бьюсь с этой задачей. Она мне снится уже. Эта строка... Да, она ни на что не влияет. Я просто забыла её удалить. Но с ней или без неё - не получается. Почему не могу пинговать, например, из Роутер1 Роутер2? Маршруты все прописала. На роутерах тоже. Вы спрашивали, почему Я думаю, что дело не в роутере? Потому что, без фаерволов все пакеты летают. Дело точно в Аса. Кроме Аса 5506-х, Я сделала точно такую же топологию, но с 5505. И там такая же фигня.
|
25 авг 2021, 09:19 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
acl на outside для сети 192.168.70.0/24 (то есть ту, в которой искомый комп находится)
|
25 авг 2021, 09:47 |
|
|
Windego
Зарегистрирован: 22 авг 2021, 19:07 Сообщения: 10
|
aliotru писал(а): acl на outside для сети 192.168.70.0/24 (то есть ту, в которой искомый комп находится) Т.е., мне надо как-то разрешение в списке контроля доступа прописать? Я до этого писала разрешения такие: access-list OUTSIDE_IN extended permit tcp any host 192.168.1.1 eq www access-list OUTSIDE_IN extended permit tcp any host 192.168.20.5 eq www access-list INSIDE_IN extended deny ip host 192.168.20.5 any access-list INSIDE_IN extended deny ip host 192.168.1.1 any Но всё равно ничего не получается... т.е., Я прописала вот это, чтобы хоть от роутера1 до роутера2 пропинговать, но ничего...
|
25 авг 2021, 16:19 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Windego писал(а): Вы спрашивали, почему Я думаю, что дело не в роутере? Потому что, без фаерволов все пакеты летают. Дело точно в Аса.
Как именно проверяли: заменяли ASA на маршрутизаторы или же просто соединяли соседние устройства проводом напрямую минуя ASA?
|
26 авг 2021, 00:34 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
Windego писал(а): Я до этого писала разрешения такие: access-list OUTSIDE_IN extended permit tcp any host 192.168.1.1 eq www access-list OUTSIDE_IN extended permit tcp any host 192.168.20.5 eq www access-list INSIDE_IN extended deny ip host 192.168.20.5 any access-list INSIDE_IN extended deny ip host 192.168.1.1 any
Но всё равно ничего не получается... т.е., Я прописала вот это, чтобы хоть от роутера1 до роутера2 пропинговать, но ничего... ну первые два вам никак пинг не разрешат, да и вторые два тоже ничего хорошего не сделают. это все ерунда какая то. Код: access-list OUTSIDE_IN extended permit ip any 192.168.2.0 255.255.255.0 access-group OUTSIDE_IN in interface outside при условии, что роутер1 и роутер2 знают маршруты друг к другу
|
26 авг 2021, 10:31 |
|
|
Windego
Зарегистрирован: 22 авг 2021, 19:07 Сообщения: 10
|
Black Fox писал(а): Windego писал(а): Вы спрашивали, почему Я думаю, что дело не в роутере? Потому что, без фаерволов все пакеты летают. Дело точно в Аса.
Как именно проверяли: заменяли ASA на маршрутизаторы или же просто соединяли соседние устройства проводом напрямую минуя ASA? Заменяла
|
26 авг 2021, 10:49 |
|
|
Windego
Зарегистрирован: 22 авг 2021, 19:07 Сообщения: 10
|
aliotru писал(а): Windego писал(а): Я до этого писала разрешения такие: access-list OUTSIDE_IN extended permit tcp any host 192.168.1.1 eq www access-list OUTSIDE_IN extended permit tcp any host 192.168.20.5 eq www access-list INSIDE_IN extended deny ip host 192.168.20.5 any access-list INSIDE_IN extended deny ip host 192.168.1.1 any
Но всё равно ничего не получается... т.е., Я прописала вот это, чтобы хоть от роутера1 до роутера2 пропинговать, но ничего... ну первые два вам никак пинг не разрешат, да и вторые два тоже ничего хорошего не сделают. это все ерунда какая то. Код: access-list OUTSIDE_IN extended permit ip any 192.168.2.0 255.255.255.0 access-group OUTSIDE_IN in interface outside при условии, что роутер1 и роутер2 знают маршруты друг к другу Знают. Вот конфигурации первого и второго роутеров: Роутер 1: ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router ! ! ! ! ! ! ! ! no ip cef no ipv6 cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.10.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet1/0 ip address 192.168.20.2 255.255.255.0 duplex auto speed auto ! interface Serial2/0 no ip address clock rate 2000000 shutdown ! interface Serial3/0 no ip address clock rate 2000000 shutdown ! interface FastEthernet4/0 no ip address shutdown ! interface FastEthernet5/0 no ip address shutdown ! interface FastEthernet6/0 ip address 192.168.30.4 255.255.255.0 duplex auto speed auto ! router eigrp 100 network 192.168.1.0 network 192.168.10.0 network 192.168.20.0 network 192.168.30.0 network 192.168.40.0 network 192.168.50.0 network 192.168.60.0 network 192.168.80.0 network 192.168.70.0 network 192.168.2.0 network 192.168.3.0 network 192.168.4.0 network 192.168.5.0 network 192.168.6.0 network 192.168.7.0 network 192.168.8.0 network 192.168.9.0 auto-summary ! ip classless ! ip flow-export version 9 ! ! ! ! ! ! ! ! line con 0 ! line aux 0 ! line vty 0 4 login ! ! ! end Роутер2: ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router2 ! ! ! ! ! ! ! ! ip cef no ipv6 cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.2.6 255.255.255.0 duplex auto speed auto ! interface FastEthernet1/0 no ip address duplex auto speed auto shutdown ! interface Serial2/0 ip address 192.168.1.5 255.255.255.252 ! interface Serial3/0 no ip address clock rate 2000000 shutdown ! interface FastEthernet4/0 no ip address shutdown ! interface FastEthernet5/0 no ip address shutdown ! router eigrp 100 network 192.168.1.0 network 192.168.10.0 network 192.168.20.0 network 192.168.30.0 network 192.168.40.0 network 192.168.50.0 network 192.168.60.0 network 192.168.70.0 network 192.168.80.0 network 192.168.2.0 network 192.168.3.0 network 192.168.4.0 network 192.168.5.0 network 192.168.6.0 network 192.168.7.0 network 192.168.8.0 network 192.168.9.0 auto-summary ! router rip ! ip classless ! ip flow-export version 9 ! ! ! no cdp run ! ! ! ! ! ! line con 0 ! line aux 0 ! line vty 0 4 login ! ! ! end
|
26 авг 2021, 10:52 |
|
|
Windego
Зарегистрирован: 22 авг 2021, 19:07 Сообщения: 10
|
aliotru писал(а): Windego писал(а): Я до этого писала разрешения такие: access-list OUTSIDE_IN extended permit tcp any host 192.168.1.1 eq www access-list OUTSIDE_IN extended permit tcp any host 192.168.20.5 eq www access-list INSIDE_IN extended deny ip host 192.168.20.5 any access-list INSIDE_IN extended deny ip host 192.168.1.1 any
Но всё равно ничего не получается... т.е., Я прописала вот это, чтобы хоть от роутера1 до роутера2 пропинговать, но ничего... ну первые два вам никак пинг не разрешат, да и вторые два тоже ничего хорошего не сделают. это все ерунда какая то. Код: access-list OUTSIDE_IN extended permit ip any 192.168.2.0 255.255.255.0 access-group OUTSIDE_IN in interface outside при условии, что роутер1 и роутер2 знают маршруты друг к другу Получается, первый роутер направлен к Аса интерфейсом Fa1/0 с адресом 192.168.20.2, а второй роутер: 192.168.2.6
|
26 авг 2021, 10:54 |
|
|
Windego
Зарегистрирован: 22 авг 2021, 19:07 Сообщения: 10
|
aliotru писал(а): Windego писал(а): Я до этого писала разрешения такие: access-list OUTSIDE_IN extended permit tcp any host 192.168.1.1 eq www access-list OUTSIDE_IN extended permit tcp any host 192.168.20.5 eq www access-list INSIDE_IN extended deny ip host 192.168.20.5 any access-list INSIDE_IN extended deny ip host 192.168.1.1 any
Но всё равно ничего не получается... т.е., Я прописала вот это, чтобы хоть от роутера1 до роутера2 пропинговать, но ничего... ну первые два вам никак пинг не разрешат, да и вторые два тоже ничего хорошего не сделают. это все ерунда какая то. Код: access-list OUTSIDE_IN extended permit ip any 192.168.2.0 255.255.255.0 access-group OUTSIDE_IN in interface outside при условии, что роутер1 и роутер2 знают маршруты друг к другу Прописала такой код: access-list OUTSIDE_IN extended permit ip any 192.168.2.0 255.255.255.0 access-list INSIDE_IN extended permit ip any 192.168.20.0 255.255.255.0 ! ! access-group OUTSIDE_IN in interface outside access-group INSIDE_IN in interface inside Не получается...
Вложения:
h8a-_edLkRU.jpg [ 147.87 КБ | Просмотров: 7278 ]
|
26 авг 2021, 11:05 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
По результатам разбора выяснилось, что Packet Tracer не умеет в разные сложные type/code для ICMP. Настоящая ASA умеет. Код: 5508-01(config)# access-list icmp deny icmp any any ?
configure mode commands/options: <0-255> Enter ICMP type number (0 - 255) alternate-address conversion-error echo echo-reply inactive Keyword for disabling an ACL element information-reply information-request log Keyword for enabling log option on this ACL element mask-reply mask-request mobile-redirect object-group ICMP object-group for destination port parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded time-range Keyword for attaching time-range option to this ACL element timestamp-reply timestamp-request traceroute unreachable <cr> Да, тут тоже нет port-unreachable, но зато можно вручную указать type и code.
|
30 авг 2021, 02:04 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 17 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 58 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|