Автор |
Сообщение |
BratWolfa
Зарегистрирован: 08 янв 2014, 02:10 Сообщения: 30
|
Добрый день. Есть проблема, подскажите чего не так делаю?
ASA 5510 8.3(1) Нужно пробросить порт smtp до exchange
Вводные: interface Ethernet0/0 nameif outside security-level 0 ip address 194.x.x.x 255.255.255.240 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0
Exchange 192.168.0.2
Пишу: access-list outside_access_in extended permit tcp any host 192.168.0.2 eq smtp object network smtp-serv host 192.168.0.2 nat (inside,outside) static interface service tcp smtp smtp
Запускаю пакетик: packet-tracer input outside tcp 8.8.8.8 25 192.168.0.2 25
Ответ: Phase: 6 Type: NAT Subtype: rpf-check Result: DROP Config: object network smtp-serv nat (inside,outside) static interface service tcp smtp smtp Additional Information:
Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule
Чего не так то?
|
08 янв 2014, 15:34 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
Попробуйте правильно запустить пакет-трейсер, указав внешний айпи, а не внутренний
|
08 янв 2014, 17:01 |
|
|
BratWolfa
Зарегистрирован: 08 янв 2014, 02:10 Сообщения: 30
|
crash писал(а): Попробуйте правильно запустить пакет-трейсер, указав внешний айпи, а не внутренний Запускаю пакетик: packet-tracer input outside tcp 62.213.78.22 25 192.168.0.2 25 Ответ тот же: Phase: 2 Type: ACCESS-LIST Subtype: Result: DROP Config: Implicit Rule Additional Information: Result: input-interface: outside input-status: up input-line-status: up output-interface: NP Identity Ifc output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule
|
08 янв 2014, 17:21 |
|
|
Fedeor
Зарегистрирован: 13 фев 2012, 15:46 Сообщения: 266
|
Имеется ввиду: packet-tracer input outside tcp 8.8.8.8 25 194.6.222.ххх 25
А acl outside_access_in не забыли применить к интерфейсу?
|
08 янв 2014, 18:33 |
|
|
BratWolfa
Зарегистрирован: 08 янв 2014, 02:10 Сообщения: 30
|
Fedeor писал(а): Имеется ввиду: packet-tracer input outside tcp 8.8.8.8 25 194.6.222.ххх 25
Запускаю пакетик:
packet-tracer input outside tcp 8.8.8.8 25 194.xxx.xxx.ххх 25 Phase: 8 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 12956, packet dispatched to next module
Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
А acl outside_access_in не забыли применить к интерфейсу? строка присутствует access-group outside_access_in in interface outside
|
08 янв 2014, 19:02 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
запустили пакетик и он прошел. В чем тогда проблема?
|
09 янв 2014, 05:41 |
|
|
BratWolfa
Зарегистрирован: 08 янв 2014, 02:10 Сообщения: 30
|
crash писал(а): запустили пакетик и он прошел. В чем тогда проблема? Ну так до 192.168.0.2(Exchange) не долетает...не пробрасывается...не доходит ... Прям аказия какая-то ...
|
09 янв 2014, 08:15 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
Отключите inspect smtp
|
09 янв 2014, 08:35 |
|
|
Fedeor
Зарегистрирован: 13 фев 2012, 15:46 Сообщения: 266
|
Нет ли еще в конфиге ната подобного следующему? Код: nat (inside,outside) source dynamic AnObject interface
|
09 янв 2014, 08:49 |
|
|
BratWolfa
Зарегистрирован: 08 янв 2014, 02:10 Сообщения: 30
|
amir писал(а): Отключите inspect smtp Ну как бы напрямую в конфиге его нет, но я так понимаю, что если он и есть, то только вот тут: class-map inspection_default а как его от туда убрать? (наверно никак) class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect pptp inspect icmp
|
09 янв 2014, 09:25 |
|
|
BratWolfa
Зарегистрирован: 08 янв 2014, 02:10 Сообщения: 30
|
Fedeor писал(а): Нет ли еще в конфиге ната подобного следующему? Код: nat (inside,outside) source dynamic AnObject interface
Строчки нет ...
|
09 янв 2014, 09:25 |
|
|
kostyana
Зарегистрирован: 06 апр 2012, 14:53 Сообщения: 3
|
"access-list outside_access_in extended permit tcp any host 192.168.0.2 eq smtp" Если после праздников не туплю, то тут надо вместо 192.168.0.2 писать внешний адрес вашего почтового сервера. BratWolfa писал(а): Fedeor писал(а): Нет ли еще в конфиге ната подобного следующему? Код: nat (inside,outside) source dynamic AnObject interface
Строчки нет ...
|
09 янв 2014, 09:42 |
|
|
BratWolfa
Зарегистрирован: 08 янв 2014, 02:10 Сообщения: 30
|
Кстати если пробрасывать порт например 5555 то пакетик до 192.168.0.2 тоже не доходит ...
|
09 янв 2014, 09:47 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
BratWolfa писал(а): crash писал(а): запустили пакетик и он прошел. В чем тогда проблема? Ну так до 192.168.0.2(Exchange) не долетает...не пробрасывается...не доходит ... Прям аказия какая-то ... ASA все пропускает, как показано в вашем выводе. Может у вас проблема в другом месте сети?
Последний раз редактировалось crash 09 янв 2014, 11:03, всего редактировалось 1 раз.
|
09 янв 2014, 11:00 |
|
|
Fedeor
Зарегистрирован: 13 фев 2012, 15:46 Сообщения: 266
|
А проверяете доступность сервиса случаем не из-за inside интерфейса ASA к outside?
|
09 янв 2014, 11:02 |
|
|
BratWolfa
Зарегистрирован: 08 янв 2014, 02:10 Сообщения: 30
|
crash писал(а): BratWolfa писал(а): crash писал(а): запустили пакетик и он прошел. В чем тогда проблема? Ну так до 192.168.0.2(Exchange) не долетает...не пробрасывается...не доходит ... Прям аказия какая-то ... ASA все пропускает, как показано в вашем выводе. Может у вас проблема в другом месте сети? В данном случае сеть смоделирована. Физически это 2-е железки. ASA с 2-умя интерфейсами outside 194.x.x.x.x inside 192.168.0.1 и комп 192.168.0.2 с мониторингом Ethernet порта. Никаких Фаерволов и Антивирусных программ у этого компа нет ... добился я только одного, что до ASA outside и до ASA inside пакеты из интернета могут доходить, но на 192.168.0.2 ... увы
|
09 янв 2014, 11:38 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
сделайте для 192.168.0.2 еще динамический нат.
|
09 янв 2014, 12:20 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
Действительно, инспекта нет. Выделите для Exchange отдельный ext IP. Сделайте static NAT (IP-to-IP). Ексес-лист уже разрешает хождение 25 tcp. Как-то так: Код: object network MyExch hostname(config-network-object)# host 192.168.0.2 hostname(config-network-object)# nat (inside,outside) static w.z.y.x
Поймаете двух зайцев.
|
09 янв 2014, 16:50 |
|
|
BratWolfa
Зарегистрирован: 08 янв 2014, 02:10 Сообщения: 30
|
Господа! Всех от души благодарю! Все заработало! Правда я так и не понял в чем была беда ... в кратце скажу ... откатился на 8.2.5/конфиг по дефолту/ прописал все заново = Работает! Опять вернулся на 8.3.1/конфиг по дефолту/ прописал все заново = Работает! Наверно где-то какая-то гадость оставалась ...
Единственное хочу спросить (может не по теме, просьба не рубить) в итоге какой IOS лучше всего поставить? может поставить что-то более позднее?
|
10 янв 2014, 10:55 |
|
|