Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
artclub

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alnikolaev
 
Спасибо! выручил

Всего записей: 284 | Зарегистр. 07-02-2008 | Отправлено: 12:58 20-11-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
настраиваю ASA 5510 c нуля (в плане до этого с АСАми дела не имел). Задачи NAT, проброс портов RDP, SSL VPN.
 
Вторую задачу решил (для хоста NUC-16), но вот с NAT чего-то не получается. Вот конфиг:
 

Код:
FRA-ASA1# sh run
: Saved
:
: Serial Number: JMX1414L1E8
: Hardware:   ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz
:
ASA Version 9.1(7)15
!
hostname FRA-ASA1
domain-name TESTDOMAIN.MYDOMAIN.LOCAL
enable password **************** encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd ***************** encrypted
names
!
interface Ethernet0/0
 duplex full
 nameif WAN
 security-level 0
 ip address 10.254.1.200 255.255.255.0
!
interface Ethernet0/1
 duplex full
 nameif LAN-MSP
 security-level 100
 ip address 172.16.16.254 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 duplex full
 nameif LAN-AD
 security-level 100
 ip address 10.255.8.254 255.255.255.0
!
interface Management0/0
 duplex full
 management-only
 nameif management
 security-level 100
 ip address 192.168.2.200 255.255.255.0
!
boot system disk0:/asa917-15-k8.bin
ftp mode passive
clock timezone GMT 2
dns domain-lookup management
dns server-group DefaultDNS
 name-server 10.254.1.9
 name-server 10.255.9.11
 domain-name TESTDOMAIN.MYDOMAIN.LOCAL
object network NUC-16
 host 172.16.16.222
object network LAN-MSP
 subnet 172.16.16.0 255.255.255.0
access-list ALLOW-LAN extended permit ip any any
access-list ALLOW-RDP-NUC-16 extended permit tcp any object NUC-16 eq 3389
 
!
object network NUC-16
 nat (LAN-MSP,WAN) static interface service tcp 3389 3389
object network LAN-MSP
 nat (WAN,LAN-MSP) dynamic interface
access-group ALLOW-RDP-NUC-16 in interface WAN
access-group ALLOW-LAN in interface LAN-MSP
route WAN 0.0.0.0 0.0.0.0 10.254.1.1 1
 
dynamic-access-policy-record DfltAccessPolicy
!
class-map inspection_default
 match default-inspection-traffic
!
!
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:*****************************
: end
 

 
С хоста NUC-16 просто не идёт трасерт на внешние адреса:
 

Код:
С:\>tracert 8.8.8.8
 
Tracing route to 8.8.8.8 over a maximum of 30 hops
 
  1     *        *        *     Request timed out.
  2     *     ^C
C:\>tracert 172.16.16.254
 
Tracing route to 172.16.16.254 over a maximum of 30 hops
 
  1    <1 ms    <1 ms    <1 ms  172.16.16.254
 
Trace complete.
 

 

Код:
C:\>ipconfig /all
 
   IPv4 Address. . . . . . . . . . . : 172.16.16.222(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 172.16.16.254
   DNS Servers . . . . . . . . . . . : 10.254.1.9
   NetBIOS over Tcpip. . . . . . . . : Enabled
 
 

 

Код:
FRA-ASA1# ICMP echo request from LAN-MSP:172.16.16.222 to WAN:8.8.8.8 ID=1 seq=233 len=64
ICMP echo request from LAN-MSP:172.16.16.222 to WAN:8.8.8.8 ID=1 seq=234 len=64
ICMP echo request from LAN-MSP:172.16.16.222 to WAN:8.8.8.8 ID=1 seq=235 len=64
ICMP echo request from LAN-MSP:172.16.16.222 to WAN:8.8.8.8 ID=1 seq=236 len=64
ICMP echo request from LAN-MSP:172.16.16.222 to WAN:8.8.8.8 ID=1 seq=237 len=64
 

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 19:23 04-12-2017 | Исправлено: anahaym, 19:55 04-12-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
dns domain-lookup management

У вас точно через этот интерфейс днс резолвинг? Попробуйте сменить на WAN

Всего записей: 236 | Зарегистр. 19-11-2001 | Отправлено: 10:23 05-12-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris касяк был тут:

Цитата:
object network LAN-MSP  
 nat (WAN,LAN-MSP) dynamic interface  

 
поменял на:

Цитата:
object network LAN-MSP  
 nat (LAN-MSP,WAN) dynamic interface  

заработало

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 11:58 05-12-2017 | Исправлено: anahaym, 11:58 05-12-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
продалжаем настраивать проброс портов на АСА.
конфиг:

Код:
System IP Addresses:  
Interface                Name                   IP address      Subnet mask     Method  
Ethernet0/0              WAN                    10.254.1.200    255.255.255.0   CONFIG  
Ethernet0/1              LAN-MSP                172.16.16.254   255.255.255.0   CONFIG  
Ethernet0/3              LAN-AD                 10.255.8.254    255.255.255.0   CONFIG  
object network NUC-16
 host 172.16.16.222
object network LAN-MSP
 subnet 172.16.16.0 255.255.255.0
object network NUC-8
 host 10.255.8.222
object network LAN-AD
 subnet 10.255.8.0 255.255.255.0
access-list ALLOW-LAN extended permit ip any any
access-list ALLOW-RDP-NUC-16 extended permit tcp any object NUC-16 eq 3389
access-list ALLOW-RDP-NUC-8 extended permit tcp any object NUC-8 eq 3388
object network NUC-16
 nat (LAN-MSP,WAN) static interface service tcp 3389 3389
object network LAN-MSP
 nat (LAN-MSP,WAN) dynamic interface
object network NUC-8
 nat (LAN-AD,WAN) static interface service tcp 3389 3388
object network LAN-AD
 nat (LAN-AD,WAN) dynamic interface
access-group ALLOW-RDP-NUC-16 in interface WAN
access-group ALLOW-LAN in interface LAN-MSP
access-group ALLOW-LAN in interface LAN-AD
route WAN 0.0.0.0 0.0.0.0 10.254.1.1 1

так я могу подключится из интернета по RDP к хосту NUC-16. Я думал, что если привяжу правило ALLOW-RDP-NUC-8 к внешнему порту, то смогу одновременно подключаться и к NUC-16 и k NUC-8, но почему-то можно привязать только одно правило....
 
т.е. другими словами, нужно пробросить порты так же как я делал это на 7206:

Код:
ip nat inside source static tcp 192.168.1.100 22 87.x.x.x 22  
ip nat inside source static tcp 192.168.1.200 22 87.x.x.x 2222

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 15:08 05-12-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
рабочий конфиг:

Код:
 
Cisco Adaptive Security Appliance Software Version 9.1(7)15
Device Manager Version 7.8(2)151
 
 System IP Addresses:  
Interface Name IP address Subnet mask Method  
Ethernet0/0 WAN           10.254.1.200   255.255.255.0 CONFIG  
Ethernet0/1 LAN-MSP   172.16.16.254 255.255.255.0 CONFIG  
Ethernet0/3 LAN-AD      10.255.8.254   255.255.255.0 CONFIG  
object network NUC-16
 host 172.16.16.222
object network LAN-MSP
 subnet 172.16.16.0 255.255.255.0
object network NUC-8
 host 10.255.8.222
object network LAN-AD
 subnet 10.255.8.0 255.255.255.0
access-list ALLOW-LAN extended permit ip any any
access-list ALLOW-RDP-NUC-16 extended permit tcp any object NUC-16 eq 3389
access-list ALLOW-RDP-NUC-8 extended permit tcp any object NUC-8 eq 3389
object network NUC-16
 nat (LAN-MSP,WAN) static interface service tcp 3389 3389
object network LAN-MSP
 nat (LAN-MSP,WAN) dynamic interface
object network NUC-8
 nat (LAN-AD,WAN) static interface service tcp 3389 3388
object network LAN-AD
 nat (LAN-AD,WAN) dynamic interface
access-group ALLOW-RDP-NUC-16 in interface WAN
access-group ALLOW-LAN in interface LAN-MSP
access-group ALLOW-LAN in interface LAN-AD
route WAN 0.0.0.0 0.0.0.0 10.254.1.1 1

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 14:14 06-12-2017 | Исправлено: anahaym, 16:14 06-12-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anahaym Я не заметил изменений. И что на NUC-8 тоже можно зайти по рдп?

Всего записей: 236 | Зарегистр. 19-11-2001 | Отправлено: 15:22 06-12-2017
vovan1st

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а разве не так нужно:
access-list ALLOW-RDP-NUC-8 extended permit tcp any object NUC-8 eq 3389
 
да оба acl на 3389

Всего записей: 13 | Зарегистр. 21-08-2015 | Отправлено: 15:27 06-12-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris да, опечатался. исправил. оба АКЛ на один порт.

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 16:15 06-12-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите по лицензированию.
правильно ли я понял, что если я куплю L-ASA-AC-E-5525 (Essentials) то это сразу даст возможность 750 пользователям подлючаться через Cisco AnyConnect?
если некоторым пользователям нужен будет доступ без клиента (WebVPN) то я должен буду докупить для них поштучно (10-25-50-100 и т.д.) лицензии Премиум?
 
Или Essentials тоже по штучно продаются?
 
Спасибо.

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 16:20 07-12-2017
vernikd

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите какую из последних версий ios можно поставить на
Hardware:   ASA5505, 512 MB RAM, CPU Geode 500 MHz
Internal ATA Compact Flash, 128MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB

Всего записей: 2 | Зарегистр. 17-04-2009 | Отправлено: 11:49 08-12-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru