Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.83/29: Рейтинг темы: голосов - 29, средняя оценка - 4.83
jekaa
0 / 0 / 0
Регистрация: 17.12.2012
Сообщений: 1
1

Как дать доступ в интернет (cisco asa).

21.12.2012, 03:09. Просмотров 5724. Ответов 13
Метки нет (Все метки)

Добрый день,
Вопрос по Cisco ASA 55XX.
Только сильно не пинайте, новичок.
Залил свежий ASDM, IOS (asa901-k8.bin немножко отличный синтаксис), поднял ppp client (outside) 200.100.23.1 (как пример), поднял локальную сеть (inside) 192.168.0.1, dhcp сервер.
На самой Cisco ASA интернет есть, icmp пакеты проходят.
Как дать достум в интернет из локальной сети не понял.
security level outside 0, inside 100.
Если не сложно, напишите пожалуйста образные примеры:

1) допустим публикация веб сервера из inside, outside на 192.168.0.2
2) разрешить полный доступ в интернет (nat) клиенту 192.168.0.3
3) разрешить только протокол http клиенту 192.168.0.4

Большое спасибо,
курю книжки долго, потихоньку получается.
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
21.12.2012, 03:09
Ответы с готовыми решениями:

Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon
Здравствуйте, коллеги! Подскажите пожалуйста, где рыть? Ситуация: в СПб стоит настроенная Cisco...

Как правильно организовать доступ в интернет? Asa + Router?
Добрый день. Вопрос возник следующий.. Если организовывать локальную сеть правильно, как это...

Запрет на доступ к определенным сайтам. Cisco ASA?
Добрый день, у нас в РФ приняли закон, обязывающий интернет провайдеров ограничивать доступ к...

Удалённый доступ по RDP через Cisco ASA
Здравствуйте! Помогите, пожалуйста, с брандмауэром. Человек, который им занимался, в отпуске,...

Доступ в DMZ на ASA 5505 (в Cisco Packet Tracer)
Всем доброго времени суток! Всё вроде правильно настроено, но почему то из Remote PC в SharePoint...

13
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
21.12.2012, 18:35 2
Вот нечто похожая топология...

есть клиенты на левой стороны (.10, .20, .30) и хост на правой
Как дать доступ в интернет (cisco asa).


1) допустим публикация веб сервера из inside, outside на 192.168.1.10
обращаемся на адрес outside по 80 порту и перенаправляемся на хост 192.168.1.10
Код
object network 192168110
 host 192.168.1.10
 nat (inside,outside) static interface service tcp www www

access-list 100 extended permit tcp any host 192.168.1.10 eq www 
access-group 100 in interface outside
Как дать доступ в интернет (cisco asa).

при этом на другой порт нас не пустит из outside:
Как дать доступ в интернет (cisco asa).


2) разрешить полный доступ в интернет (nat) клиенту 192.168.1.20
обращаемся на 200.100.23.254, например, по портам 80 и 443 с .20, оба раза успех.
Код
object network 192168120
 host 192.168.1.20
 nat (inside,outside) static interface
Как дать доступ в интернет (cisco asa).


3) разрешить только протокол http клиенту 192.168.1.30
обращаемся на 200.100.23.254 по тем же портам 80 и 443 с .30, - с 80 успех, с 443 - нет.
Код
object network 192168130
 host 192.168.1.30

nat (inside,outside) source static 192168130 interface service WWW WWW
Как дать доступ в интернет (cisco asa).
0
jorik1
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
03.01.2013, 13:03 3
Цитата Сообщение от Jabbson Посмотреть сообщение
Вот нечто похожая топология...

есть клиенты на левой стороны (.10, .20, .30) и хост на правой
Вложение 216423

1) допустим публикация веб сервера из inside, outside на 192.168.1.10
обращаемся на адрес outside по 80 порту и перенаправляемся на хост 192.168.1.10
Код
object network 192168110
 host 192.168.1.10
 nat (inside,outside) static interface service tcp www www

access-list 100 extended permit tcp any host 192.168.1.10 eq www 
access-group 100 in interface outside
Вложение 216426
при этом на другой порт нас не пустит из outside:
Вложение 216427

2) разрешить полный доступ в интернет (nat) клиенту 192.168.1.20
обращаемся на 200.100.23.254, например, по портам 80 и 443 с .20, оба раза успех.
Код
object network 192168120
 host 192.168.1.20
 nat (inside,outside) static interface
Вложение 216428

3) разрешить только протокол http клиенту 192.168.1.30
обращаемся на 200.100.23.254 по тем же портам 80 и 443 с .30, - с 80 успех, с 443 - нет.
Код
object network 192168130
 host 192.168.1.30

nat (inside,outside) source static 192168130 interface service WWW WWW
Вложение 216430
Спасибо, главная проблема в настройке железки была,
1. в прилагаемых доках asdm, по сути его не было
2. прежде чем прописывать правила, нужно сделать нат для внутренней сети. (!)

Пока пользуюсь ASDM, во первых правил будет много, а во вторых новая версия IOS поменяла синтаксис многих команд, т.е. не работает куча примеров.
0
jorik1
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
03.01.2013, 13:07 4
А можно еще один вопрос?
В аттаче настройка нат и редиректа.
допустим есть сеть 192.168.0.0/24
есть веб сервер 192.168.0.14
в моем конфиге все работает, если набрать сайт.рф из интернета он отображается, но если набрать из внутренней сети, то нет.
Подскажите как правильно пофиксить проблему.

большое спасибо и с прошедшим новым годом!
0
Миниатюры
Как дать доступ в интернет (cisco asa).  
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
03.01.2013, 13:12 5
Если я правильно понял и Вам нужно открывать один и тот же внутренний сайт из интернета и из внутренней сети, то принципиально верным решением задачи является сплит-днс.
0
jorik1
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
03.01.2013, 13:26 6
Цитата Сообщение от Jabbson Посмотреть сообщение
Если я правильно понял и Вам нужно открывать один и тот же внутренний сайт из интернета и из внутренней сети, то принципиально верным решением задачи является сплит-днс.
спасибо, прочитал про эту технологию.
наверное грамотрее было вынести в dmz ну да ладно.
Да это сайт, причем внешний (то есть не внутренний портал), назовем www.site.ru
Из интернета все красиво открывается, а вот из внутренней сети если набрать www.site.ru логи говорят tcp access denied by ACL from to.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
03.01.2013, 15:40 7
Если у Вас собственный внутренний днс - делайте на нём сплит - одним сетям отдавайте один адрес, другим - другой, если же днс внешний - то, что Вы ищите называется "DNS Doctoring". Почитать можно тут.
1
jorik1
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
04.01.2013, 10:28 8
Сегодня пол дня провел за настройкой и экспериментами.
Итак, обновил прошивку и ASDM.

Допустим есть внешний адрес на ASA, пусть 200.1.1.5, веб сервер 192.168.0.14 и клиент из внутренней сети 192.168.0.181

Если сказать на клиенте telnet www.web.ru 80 или telnet 200.1.1.5 80 идет ошибка,

Failed to locate egress interface for TCP from local: 192.168.0.181/4414 to 200.1.1.5/80

Из интернета telnet www.web.ru 80 или telnet 200.1.1.5 80 все красиво коннектиться.

Мда, веселая эта ASA. Поборю эту проблему и поставлю точку в настройке.
Гляньте пожалуйста.
Спасибо.
0
Миниатюры
Как дать доступ в интернет (cisco asa).   Как дать доступ в интернет (cisco asa).  
jorik1
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
04.01.2013, 10:29 9
То есть тут дело не в ДНС.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
04.01.2013, 11:20 10
а точный маршрут или "маршрут по умолчанию" есть?
0
jorik1
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
04.01.2013, 11:31 11
Если можно я Вам сейчас скину конфиг в личку
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
05.01.2013, 14:44 12
Jabbson, гляньте пожалуйста мой конфиг, я уже замучился который день с этим глюком.
гугл коворит, что такие пробемы были и даже приводит решения, но, спасибо товарищам за смену синтаксиса, global теперь нет.
отвечу тут, может кому пригодится еще.

Итак, схема:
Как дать доступ в интернет (cisco asa).


Есть некий сервер во внутренней сети, который должен быть доступен по доменному имени, скажем web.example.com как из внутренней, так и из внешней сети.

DNS сервер на запрос по этому адресу возвращает внешний адрес нашей асы - 212.19.6.18:
Как дать доступ в интернет (cisco asa).


настройки Асы (версия 8.2, думаю переделать под 9 сможете сами):

Код
interface Ethernet0/0
 nameif inet
 security-level 0
 pppoe client vpdn group intenet
 ip address pppoe setroute 

access-list inet_access_in extended permit ip any any
access-group inet_access_in in interface inet
 
nat (local) 10 192.168.0.0 255.255.255.0
global (inet) 10 interface
static (local,inet) interface 192.168.0.14 netmask 255.255.255.255 dns 

route inet 0.0.0.0 0.0.0.0 212.19.6.1 1

vpdn group intenet request dialout pppoe
vpdn group intenet localname username1
vpdn group intenet ppp authentication pap
vpdn username username1 password password1 

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect dns 

service-policy global_policy global
Проверка:
INTERNAL_HOST

INTERNAL_HOST#telnet web.example.com 80
Translating "web.example.com"...domain server (10.10.10.10) [OK]
Trying web.example.com (192.168.0.14, 80)... Open
^C
HTTP/1.1 400 Bad Request
Date: Fri, 01 Mar 2002 02:44:04 GMT
Server: cisco-IOS
Accept-Ranges: none

400 Bad Request

[Connection to web.example.com closed by foreign host]
INTERNAL_HOST#
EXTERNAL_HOST
EXTERNAL_HOST#telnet web.example.com 80
Translating "web.example.com"...domain server (10.10.10.10) [OK]
Trying web.example.com (212.19.6.18, 80)... Open
^C
HTTP/1.1 400 Bad Request
Date: Fri, 01 Mar 2002 02:44:33 GMT
Server: cisco-IOS
Accept-Ranges: none

400 Bad Request

[Connection to web.example.com closed by foreign host]
EXTERNAL_HOST#
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
05.01.2013, 15:05 13
куда-то из предыдущего конфига пропал local интерфейс:
Код
interface Ethernet0/1
 nameif local
 security-level 100
 ip address 192.168.0.1 255.255.255.0
как вы понимаете, конфиг сделан быстро, на колене и шорткатами - как то "permit ip any any". Учитывайте это, пожалуйста, при настройке своей сети.
0
jorik1
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
05.01.2013, 18:56 14
спасибо, пойду опять читать мануалы, что же они так накрутили на версии 8.3 с натом и главный вопрос - ну зачем???
0
05.01.2013, 18:56
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
05.01.2013, 18:56

Есть ли Cisco Feature Navigator, для Cisco ASA?
Добрый день. Меня интересует вопрос, есть ли Cisco Feature Navigator, для Cisco ASA? Необходимо...

Cisco ASA. Как правильно сменить IP?
Добрый день, имеется Cisco ASA на удаленной площадке. Есть необходимость сменить внешний IP, на...

Cisco ASA VPN S-t-S. Как выключить?
А как можно выключить S-t-S подключение на ASA? Просто off сделать, не удаляя ничего?


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
14
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru