Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:08



Ответить на тему  [ Сообщений: 17 ] 
Не могу настроить ASA 5506-Х 
Автор Сообщение

Зарегистрирован: 22 авг 2021, 19:07
Сообщения: 10
Здравствуйте.

Суть проблемы:
Я студент (хоть и старый). Делаю задания в Циско пакет трейсер. 5 штук - ок, а на одном застряла.
Вот тут и начинаются проблемы с межсетевым экраном. В учебных материалах ничего нет о настройке.
Интернет перелазила весь. И Я не могу понять, что делаю не так.
Создала топологию (всё как в задаче)

А суть задачи в том, что один комп ч помощью команды tracert узнаёт маршрут прохождения пакетов
до другого компа и наоборот.

Так вот, как сделать так, что пакеты эти проходили через фаервол?

Кто-то может объяснить человеку, который впервые в жизни сталкивается с подобным?

Вот пример конфигурации на ASA2:
show running-config
: Saved
:
ASA Version 9.6(1)
!
hostname ASA2
names
!
interface GigabitEthernet1/1
description inside
nameif inside
security-level 100
ip address 192.168.20.5 255.255.255.0
!
interface GigabitEthernet1/2
nameif outside
security-level 0
ip address 192.168.2.8 255.255.255.0
!
interface GigabitEthernet1/3
no nameif
no security-level
no ip address
shutdown
!
interface GigabitEthernet1/4
no nameif
no security-level
no ip address
shutdown
!
interface GigabitEthernet1/5
no nameif
no security-level
no ip address
shutdown
!
interface GigabitEthernet1/6
no nameif
no security-level
no ip address
shutdown
!
interface GigabitEthernet1/7
no nameif
no security-level
no ip address
shutdown
!
interface GigabitEthernet1/8
no nameif
no security-level
no ip address
shutdown
!
interface Management1/1
management-only
no nameif
no security-level
no ip address
shutdown
!
!
route inside 0.0.0.0 0.0.0.0 192.168.2.7 1
route inside 192.168.10.0 255.255.255.0 192.168.20.2 1
route outside 192.168.1.0 255.255.255.252 192.168.2.6 1
route inside 192.168.30.0 255.255.255.0 192.168.20.2 1
route outside 192.168.8.0 255.255.255.0 192.168.2.6 1
route outside 192.168.1.0 255.255.255.0 192.168.2.6 1
route inside 192.168.3.0 255.255.255.0 192.168.20.2 1
route outside 192.168.50.0 255.255.255.0 192.168.2.6 1
route outside 192.168.80.0 255.255.255.0 192.168.2.6 1
route outside 192.168.60.0 255.255.255.0 192.168.2.6 1
route outside 192.168.7.0 255.255.255.0 192.168.2.6 1
route outside 192.168.70.0 255.255.255.0 192.168.2.6 1
route outside 192.168.4.0 255.255.255.0 192.168.2.6 1
route outside 192.168.40.0 255.255.255.0 192.168.2.6 1
route outside 192.168.5.0 255.255.255.0 192.168.2.6 1
route outside 192.168.6.0 255.255.255.0 192.168.2.6 1
route outside 192.168.9.0 255.255.255.0 192.168.2.6 1
route inside 192.168.20.0 255.255.255.0 192.168.20.2 1
route outside 192.168.2.0 255.255.255.0 192.168.2.6 1
!
!
!
!
aaa authentication ssh console LOCAL
!
username ciscoadmin password 1Ir9LdCsY788Z.g. encrypted
!
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect tftp
!
service-policy global_policy global
!
telnet timeout 5
ssh 192.168.10.0 255.255.255.0 inside
ssh 192.168.10.5 255.255.255.255 inside
ssh 192.168.70.10 255.255.255.255 outside
ssh timeout 5
!
!
!
!


Вложения:
Комментарий к файлу: Сама топология
TNWhjG5VI-Y.jpg
TNWhjG5VI-Y.jpg [ 131.21 КБ | Просмотров: 7440 ]
23 авг 2021, 20:59
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Трафик туда и обратно ходит одинаково?


24 авг 2021, 00:12
Профиль WWW

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
а с чего вы взяли, что проблема в АСА2, а не в роутере перед ней?

задача на то и задача, чтобы найти решение. Откуда в ней возьмется нужная конфигурация? и в интернете видимо плохо искали - материалов о настройке АСА в сети скопилось немеряно)))


24 авг 2021, 10:17
Профиль

Зарегистрирован: 22 авг 2021, 19:07
Сообщения: 10
Black Fox писал(а):
Трафик туда и обратно ходит одинаково?

Ну как ходит... Доходит до ASA и всё.


24 авг 2021, 11:38
Профиль

Зарегистрирован: 22 авг 2021, 19:07
Сообщения: 10
aliotru писал(а):
а с чего вы взяли, что проблема в АСА2, а не в роутере перед ней?

задача на то и задача, чтобы найти решение. Откуда в ней возьмется нужная конфигурация? и в интернете видимо плохо искали - материалов о настройке АСА в сети скопилось немеряно)))


Так Я и ищу решение. И Я написала, что в учебных материалах нет ничего о настройке фаервола, а не в самой задаче.

Ну вот пришла сюда, чтобы мне помогли понять. Это не считается за поиск в инете? Потому что, до этого Я перерыла кучу материалов. Всё делаю по ним и ничего.
Более того, на скрине обозначены ограничения, которые должны быть установлены на аса, но они пока не установлены, а некоторые вообще не устанавливаются. Пишет,
что команда неправильная, хотя такая же команда, но с другим ограничением работает.


24 авг 2021, 11:42
Профиль

Зарегистрирован: 22 авг 2021, 19:07
Сообщения: 10
aliotru писал(а):
а с чего вы взяли, что проблема в АСА2, а не в роутере перед ней?

задача на то и задача, чтобы найти решение. Откуда в ней возьмется нужная конфигурация? и в интернете видимо плохо искали - материалов о настройке АСА в сети скопилось немеряно)))



"и в интернете видимо плохо искали"
Поверьте, чтобы обратиться на форум, мне надо было отчаяться совсем.

Потому как, тут всё по одному сценарию:
1. Задаёшь вопрос.
2. Тебе отвечают, почему не ищешь в инете.
3. Не получаешь никакого дельного совета.
4. Всё делаешь сам.

Но на этот раз, Я не знаю как это сделать. Вот вообще. Совсем. Абсолютно.


24 авг 2021, 11:45
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
вы очень эмоционально реагируете)

вот эта строка ни на что не влияет вроде как, но явно некорректна route inside 0.0.0.0 0.0.0.0 192.168.2.7 1


25 авг 2021, 08:23
Профиль

Зарегистрирован: 22 авг 2021, 19:07
Сообщения: 10
aliotru писал(а):
вы очень эмоционально реагируете)

вот эта строка ни на что не влияет вроде как, но явно некорректна route inside 0.0.0.0 0.0.0.0 192.168.2.7 1


Я очень долго бьюсь с этой задачей. Она мне снится уже.

Эта строка... Да, она ни на что не влияет. Я просто забыла её удалить. Но с ней или без неё - не получается. Почему не могу пинговать, например, из Роутер1 Роутер2?
Маршруты все прописала. На роутерах тоже.
Вы спрашивали, почему Я думаю, что дело не в роутере? Потому что, без фаерволов все пакеты летают. Дело точно в Аса.

Кроме Аса 5506-х, Я сделала точно такую же топологию, но с 5505. И там такая же фигня.


25 авг 2021, 09:19
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
acl на outside для сети 192.168.70.0/24 (то есть ту, в которой искомый комп находится)


25 авг 2021, 09:47
Профиль

Зарегистрирован: 22 авг 2021, 19:07
Сообщения: 10
aliotru писал(а):
acl на outside для сети 192.168.70.0/24 (то есть ту, в которой искомый комп находится)


Т.е., мне надо как-то разрешение в списке контроля доступа прописать?

Я до этого писала разрешения такие:
access-list OUTSIDE_IN extended permit tcp any host 192.168.1.1 eq www
access-list OUTSIDE_IN extended permit tcp any host 192.168.20.5 eq www
access-list INSIDE_IN extended deny ip host 192.168.20.5 any
access-list INSIDE_IN extended deny ip host 192.168.1.1 any

Но всё равно ничего не получается...
т.е., Я прописала вот это, чтобы хоть от роутера1 до роутера2 пропинговать, но ничего...


25 авг 2021, 16:19
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Windego писал(а):
Вы спрашивали, почему Я думаю, что дело не в роутере? Потому что, без фаерволов все пакеты летают. Дело точно в Аса.

Как именно проверяли: заменяли ASA на маршрутизаторы или же просто соединяли соседние устройства проводом напрямую минуя ASA?


26 авг 2021, 00:34
Профиль WWW

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
Windego писал(а):
Я до этого писала разрешения такие:
access-list OUTSIDE_IN extended permit tcp any host 192.168.1.1 eq www
access-list OUTSIDE_IN extended permit tcp any host 192.168.20.5 eq www
access-list INSIDE_IN extended deny ip host 192.168.20.5 any
access-list INSIDE_IN extended deny ip host 192.168.1.1 any

Но всё равно ничего не получается...
т.е., Я прописала вот это, чтобы хоть от роутера1 до роутера2 пропинговать, но ничего...


ну первые два вам никак пинг не разрешат, да и вторые два тоже ничего хорошего не сделают. это все ерунда какая то.

Код:
access-list OUTSIDE_IN extended permit ip any 192.168.2.0 255.255.255.0
access-group OUTSIDE_IN in interface outside

при условии, что роутер1 и роутер2 знают маршруты друг к другу


26 авг 2021, 10:31
Профиль

Зарегистрирован: 22 авг 2021, 19:07
Сообщения: 10
Black Fox писал(а):
Windego писал(а):
Вы спрашивали, почему Я думаю, что дело не в роутере? Потому что, без фаерволов все пакеты летают. Дело точно в Аса.

Как именно проверяли: заменяли ASA на маршрутизаторы или же просто соединяли соседние устройства проводом напрямую минуя ASA?


Заменяла


26 авг 2021, 10:49
Профиль

Зарегистрирован: 22 авг 2021, 19:07
Сообщения: 10
aliotru писал(а):
Windego писал(а):
Я до этого писала разрешения такие:
access-list OUTSIDE_IN extended permit tcp any host 192.168.1.1 eq www
access-list OUTSIDE_IN extended permit tcp any host 192.168.20.5 eq www
access-list INSIDE_IN extended deny ip host 192.168.20.5 any
access-list INSIDE_IN extended deny ip host 192.168.1.1 any

Но всё равно ничего не получается...
т.е., Я прописала вот это, чтобы хоть от роутера1 до роутера2 пропинговать, но ничего...


ну первые два вам никак пинг не разрешат, да и вторые два тоже ничего хорошего не сделают. это все ерунда какая то.

Код:
access-list OUTSIDE_IN extended permit ip any 192.168.2.0 255.255.255.0
access-group OUTSIDE_IN in interface outside

при условии, что роутер1 и роутер2 знают маршруты друг к другу


Знают.

Вот конфигурации первого и второго роутеров:

Роутер 1:
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
no ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.10.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 192.168.20.2 255.255.255.0
duplex auto
speed auto
!
interface Serial2/0
no ip address
clock rate 2000000
shutdown
!
interface Serial3/0
no ip address
clock rate 2000000
shutdown
!
interface FastEthernet4/0
no ip address
shutdown
!
interface FastEthernet5/0
no ip address
shutdown
!
interface FastEthernet6/0
ip address 192.168.30.4 255.255.255.0
duplex auto
speed auto
!
router eigrp 100
network 192.168.1.0
network 192.168.10.0
network 192.168.20.0
network 192.168.30.0
network 192.168.40.0
network 192.168.50.0
network 192.168.60.0
network 192.168.80.0
network 192.168.70.0
network 192.168.2.0
network 192.168.3.0
network 192.168.4.0
network 192.168.5.0
network 192.168.6.0
network 192.168.7.0
network 192.168.8.0
network 192.168.9.0
auto-summary
!
ip classless
!
ip flow-export version 9
!
!
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end

Роутер2:

!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router2
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.2.6 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
duplex auto
speed auto
shutdown
!
interface Serial2/0
ip address 192.168.1.5 255.255.255.252
!
interface Serial3/0
no ip address
clock rate 2000000
shutdown
!
interface FastEthernet4/0
no ip address
shutdown
!
interface FastEthernet5/0
no ip address
shutdown
!
router eigrp 100
network 192.168.1.0
network 192.168.10.0
network 192.168.20.0
network 192.168.30.0
network 192.168.40.0
network 192.168.50.0
network 192.168.60.0
network 192.168.70.0
network 192.168.80.0
network 192.168.2.0
network 192.168.3.0
network 192.168.4.0
network 192.168.5.0
network 192.168.6.0
network 192.168.7.0
network 192.168.8.0
network 192.168.9.0
auto-summary
!
router rip
!
ip classless
!
ip flow-export version 9
!
!
!
no cdp run
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end


26 авг 2021, 10:52
Профиль

Зарегистрирован: 22 авг 2021, 19:07
Сообщения: 10
aliotru писал(а):
Windego писал(а):
Я до этого писала разрешения такие:
access-list OUTSIDE_IN extended permit tcp any host 192.168.1.1 eq www
access-list OUTSIDE_IN extended permit tcp any host 192.168.20.5 eq www
access-list INSIDE_IN extended deny ip host 192.168.20.5 any
access-list INSIDE_IN extended deny ip host 192.168.1.1 any

Но всё равно ничего не получается...
т.е., Я прописала вот это, чтобы хоть от роутера1 до роутера2 пропинговать, но ничего...


ну первые два вам никак пинг не разрешат, да и вторые два тоже ничего хорошего не сделают. это все ерунда какая то.

Код:
access-list OUTSIDE_IN extended permit ip any 192.168.2.0 255.255.255.0
access-group OUTSIDE_IN in interface outside

при условии, что роутер1 и роутер2 знают маршруты друг к другу


Получается, первый роутер направлен к Аса интерфейсом Fa1/0 с адресом 192.168.20.2,
а второй роутер: 192.168.2.6


26 авг 2021, 10:54
Профиль

Зарегистрирован: 22 авг 2021, 19:07
Сообщения: 10
aliotru писал(а):
Windego писал(а):
Я до этого писала разрешения такие:
access-list OUTSIDE_IN extended permit tcp any host 192.168.1.1 eq www
access-list OUTSIDE_IN extended permit tcp any host 192.168.20.5 eq www
access-list INSIDE_IN extended deny ip host 192.168.20.5 any
access-list INSIDE_IN extended deny ip host 192.168.1.1 any

Но всё равно ничего не получается...
т.е., Я прописала вот это, чтобы хоть от роутера1 до роутера2 пропинговать, но ничего...


ну первые два вам никак пинг не разрешат, да и вторые два тоже ничего хорошего не сделают. это все ерунда какая то.

Код:
access-list OUTSIDE_IN extended permit ip any 192.168.2.0 255.255.255.0
access-group OUTSIDE_IN in interface outside

при условии, что роутер1 и роутер2 знают маршруты друг к другу




Прописала такой код:
access-list OUTSIDE_IN extended permit ip any 192.168.2.0 255.255.255.0
access-list INSIDE_IN extended permit ip any 192.168.20.0 255.255.255.0
!
!
access-group OUTSIDE_IN in interface outside
access-group INSIDE_IN in interface inside


Не получается...


Вложения:
h8a-_edLkRU.jpg
h8a-_edLkRU.jpg [ 147.87 КБ | Просмотров: 7244 ]
26 авг 2021, 11:05
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
По результатам разбора выяснилось, что Packet Tracer не умеет в разные сложные type/code для ICMP.

Настоящая ASA умеет.
Код:
5508-01(config)# access-list icmp deny icmp any any ?

configure mode commands/options:
  <0-255>               Enter ICMP type number (0 - 255)
  alternate-address
  conversion-error
  echo
  echo-reply
  inactive              Keyword for disabling an ACL element
  information-reply
  information-request
  log                   Keyword for enabling log option on this ACL element
  mask-reply
  mask-request
  mobile-redirect
  object-group          ICMP object-group for destination port
  parameter-problem
  redirect
  router-advertisement
  router-solicitation
  source-quench
  time-exceeded
  time-range            Keyword for attaching time-range option to this ACL element
  timestamp-reply
  timestamp-request
  traceroute
  unreachable
  <cr>

Да, тут тоже нет port-unreachable, но зато можно вручную указать type и code.


30 авг 2021, 02:04
Профиль WWW
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 17 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 62


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB