jekaa
1

Как дать доступ в интернет (cisco asa).

21.12.2012, 03:09. Показов 10873. Ответов 13
Метки нет (Все метки)

Добрый день,
Вопрос по Cisco ASA 55XX.
Только сильно не пинайте, новичок.
Залил свежий ASDM, IOS (asa901-k8.bin немножко отличный синтаксис), поднял ppp client (outside) 200.100.23.1 (как пример), поднял локальную сеть (inside) 192.168.0.1, dhcp сервер.
На самой Cisco ASA интернет есть, icmp пакеты проходят.
Как дать достум в интернет из локальной сети не понял.
security level outside 0, inside 100.
Если не сложно, напишите пожалуйста образные примеры:

1) допустим публикация веб сервера из inside, outside на 192.168.0.2
2) разрешить полный доступ в интернет (nat) клиенту 192.168.0.3
3) разрешить только протокол http клиенту 192.168.0.4

Большое спасибо,
курю книжки долго, потихоньку получается.
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
21.12.2012, 03:09
Ответы с готовыми решениями:

Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon
Здравствуйте, коллеги! Подскажите пожалуйста, где рыть? Ситуация: в СПб стоит настроенная Cisco...

Как правильно организовать доступ в интернет? Asa + Router?
Добрый день. Вопрос возник следующий.. Если организовывать локальную сеть правильно, как это...

Как дать доступ в интернет
Windows Server 2008 10 ПК работают в интернете, пытаюсь по wifi подрубить телефон. Телефон к wifi...

Запрет на доступ к определенным сайтам. Cisco ASA?
Добрый день, у нас в РФ приняли закон, обязывающий интернет провайдеров ограничивать доступ к...

13
Эксперт по компьютерным сетям
4846 / 2741 / 837
Регистрация: 03.11.2009
Сообщений: 8,419
Записей в блоге: 3
21.12.2012, 18:35 2
Вот нечто похожая топология...

есть клиенты на левой стороны (.10, .20, .30) и хост на правой
Как дать доступ в интернет (cisco asa).


1) допустим публикация веб сервера из inside, outside на 192.168.1.10
обращаемся на адрес outside по 80 порту и перенаправляемся на хост 192.168.1.10
Код
object network 192168110
 host 192.168.1.10
 nat (inside,outside) static interface service tcp www www

access-list 100 extended permit tcp any host 192.168.1.10 eq www 
access-group 100 in interface outside
Как дать доступ в интернет (cisco asa).

при этом на другой порт нас не пустит из outside:
Как дать доступ в интернет (cisco asa).


2) разрешить полный доступ в интернет (nat) клиенту 192.168.1.20
обращаемся на 200.100.23.254, например, по портам 80 и 443 с .20, оба раза успех.
Код
object network 192168120
 host 192.168.1.20
 nat (inside,outside) static interface
Как дать доступ в интернет (cisco asa).


3) разрешить только протокол http клиенту 192.168.1.30
обращаемся на 200.100.23.254 по тем же портам 80 и 443 с .30, - с 80 успех, с 443 - нет.
Код
object network 192168130
 host 192.168.1.30

nat (inside,outside) source static 192168130 interface service WWW WWW
Как дать доступ в интернет (cisco asa).
0
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
03.01.2013, 13:03 3
Цитата Сообщение от Jabbson Посмотреть сообщение
Вот нечто похожая топология...

есть клиенты на левой стороны (.10, .20, .30) и хост на правой
Вложение 216423

1) допустим публикация веб сервера из inside, outside на 192.168.1.10
обращаемся на адрес outside по 80 порту и перенаправляемся на хост 192.168.1.10
Код
object network 192168110
 host 192.168.1.10
 nat (inside,outside) static interface service tcp www www

access-list 100 extended permit tcp any host 192.168.1.10 eq www 
access-group 100 in interface outside
Вложение 216426
при этом на другой порт нас не пустит из outside:
Вложение 216427

2) разрешить полный доступ в интернет (nat) клиенту 192.168.1.20
обращаемся на 200.100.23.254, например, по портам 80 и 443 с .20, оба раза успех.
Код
object network 192168120
 host 192.168.1.20
 nat (inside,outside) static interface
Вложение 216428

3) разрешить только протокол http клиенту 192.168.1.30
обращаемся на 200.100.23.254 по тем же портам 80 и 443 с .30, - с 80 успех, с 443 - нет.
Код
object network 192168130
 host 192.168.1.30

nat (inside,outside) source static 192168130 interface service WWW WWW
Вложение 216430
Спасибо, главная проблема в настройке железки была,
1. в прилагаемых доках asdm, по сути его не было
2. прежде чем прописывать правила, нужно сделать нат для внутренней сети. (!)

Пока пользуюсь ASDM, во первых правил будет много, а во вторых новая версия IOS поменяла синтаксис многих команд, т.е. не работает куча примеров.
0
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
03.01.2013, 13:07 4
А можно еще один вопрос?
В аттаче настройка нат и редиректа.
допустим есть сеть 192.168.0.0/24
есть веб сервер 192.168.0.14
в моем конфиге все работает, если набрать сайт.рф из интернета он отображается, но если набрать из внутренней сети, то нет.
Подскажите как правильно пофиксить проблему.

большое спасибо и с прошедшим новым годом!
Миниатюры
Как дать доступ в интернет (cisco asa).  
0
Эксперт по компьютерным сетям
4846 / 2741 / 837
Регистрация: 03.11.2009
Сообщений: 8,419
Записей в блоге: 3
03.01.2013, 13:12 5
Если я правильно понял и Вам нужно открывать один и тот же внутренний сайт из интернета и из внутренней сети, то принципиально верным решением задачи является сплит-днс.
0
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
03.01.2013, 13:26 6
Цитата Сообщение от Jabbson Посмотреть сообщение
Если я правильно понял и Вам нужно открывать один и тот же внутренний сайт из интернета и из внутренней сети, то принципиально верным решением задачи является сплит-днс.
спасибо, прочитал про эту технологию.
наверное грамотрее было вынести в dmz ну да ладно.
Да это сайт, причем внешний (то есть не внутренний портал), назовем www.site.ru
Из интернета все красиво открывается, а вот из внутренней сети если набрать www.site.ru логи говорят tcp access denied by ACL from to.
0
Эксперт по компьютерным сетям
4846 / 2741 / 837
Регистрация: 03.11.2009
Сообщений: 8,419
Записей в блоге: 3
03.01.2013, 15:40 7
Если у Вас собственный внутренний днс - делайте на нём сплит - одним сетям отдавайте один адрес, другим - другой, если же днс внешний - то, что Вы ищите называется "DNS Doctoring". Почитать можно тут.
1
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
04.01.2013, 10:28 8
Сегодня пол дня провел за настройкой и экспериментами.
Итак, обновил прошивку и ASDM.

Допустим есть внешний адрес на ASA, пусть 200.1.1.5, веб сервер 192.168.0.14 и клиент из внутренней сети 192.168.0.181

Если сказать на клиенте telnet www.web.ru 80 или telnet 200.1.1.5 80 идет ошибка,

Failed to locate egress interface for TCP from local: 192.168.0.181/4414 to 200.1.1.5/80

Из интернета telnet www.web.ru 80 или telnet 200.1.1.5 80 все красиво коннектиться.

Мда, веселая эта ASA. Поборю эту проблему и поставлю точку в настройке.
Гляньте пожалуйста.
Спасибо.
Миниатюры
Как дать доступ в интернет (cisco asa).   Как дать доступ в интернет (cisco asa).  
0
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
04.01.2013, 10:29 9
То есть тут дело не в ДНС.
0
Эксперт по компьютерным сетям
4846 / 2741 / 837
Регистрация: 03.11.2009
Сообщений: 8,419
Записей в блоге: 3
04.01.2013, 11:20 10
а точный маршрут или "маршрут по умолчанию" есть?
0
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
04.01.2013, 11:31 11
Если можно я Вам сейчас скину конфиг в личку
0
Эксперт по компьютерным сетям
4846 / 2741 / 837
Регистрация: 03.11.2009
Сообщений: 8,419
Записей в блоге: 3
05.01.2013, 14:44 12
Jabbson, гляньте пожалуйста мой конфиг, я уже замучился который день с этим глюком.
гугл коворит, что такие пробемы были и даже приводит решения, но, спасибо товарищам за смену синтаксиса, global теперь нет.
отвечу тут, может кому пригодится еще.

Итак, схема:
Как дать доступ в интернет (cisco asa).


Есть некий сервер во внутренней сети, который должен быть доступен по доменному имени, скажем web.example.com как из внутренней, так и из внешней сети.

DNS сервер на запрос по этому адресу возвращает внешний адрес нашей асы - 212.19.6.18:
Как дать доступ в интернет (cisco asa).


настройки Асы (версия 8.2, думаю переделать под 9 сможете сами):

Код
interface Ethernet0/0
 nameif inet
 security-level 0
 pppoe client vpdn group intenet
 ip address pppoe setroute 

access-list inet_access_in extended permit ip any any
access-group inet_access_in in interface inet
 
nat (local) 10 192.168.0.0 255.255.255.0
global (inet) 10 interface
static (local,inet) interface 192.168.0.14 netmask 255.255.255.255 dns 

route inet 0.0.0.0 0.0.0.0 212.19.6.1 1

vpdn group intenet request dialout pppoe
vpdn group intenet localname username1
vpdn group intenet ppp authentication pap
vpdn username username1 password password1 

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect dns 

service-policy global_policy global
Проверка:
INTERNAL_HOST

INTERNAL_HOST#telnet web.example.com 80
Translating "web.example.com"...domain server (10.10.10.10) [OK]
Trying web.example.com (192.168.0.14, 80)... Open
^C
HTTP/1.1 400 Bad Request
Date: Fri, 01 Mar 2002 02:44:04 GMT
Server: cisco-IOS
Accept-Ranges: none

400 Bad Request

[Connection to web.example.com closed by foreign host]
INTERNAL_HOST#
EXTERNAL_HOST
EXTERNAL_HOST#telnet web.example.com 80
Translating "web.example.com"...domain server (10.10.10.10) [OK]
Trying web.example.com (212.19.6.18, 80)... Open
^C
HTTP/1.1 400 Bad Request
Date: Fri, 01 Mar 2002 02:44:33 GMT
Server: cisco-IOS
Accept-Ranges: none

400 Bad Request

[Connection to web.example.com closed by foreign host]
EXTERNAL_HOST#
0
Эксперт по компьютерным сетям
4846 / 2741 / 837
Регистрация: 03.11.2009
Сообщений: 8,419
Записей в блоге: 3
05.01.2013, 15:05 13
куда-то из предыдущего конфига пропал local интерфейс:
Код
interface Ethernet0/1
 nameif local
 security-level 100
 ip address 192.168.0.1 255.255.255.0
как вы понимаете, конфиг сделан быстро, на колене и шорткатами - как то "permit ip any any". Учитывайте это, пожалуйста, при настройке своей сети.
0
0 / 0 / 0
Регистрация: 16.12.2012
Сообщений: 8
05.01.2013, 18:56 14
спасибо, пойду опять читать мануалы, что же они так накрутили на версии 8.3 с натом и главный вопрос - ну зачем???
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
05.01.2013, 18:56

Удалённый доступ по RDP через Cisco ASA
Здравствуйте! Помогите, пожалуйста, с брандмауэром. Человек, который им занимался, в отпуске,...

Доступ в DMZ на ASA 5505 (в Cisco Packet Tracer)
Всем доброго времени суток! Всё вроде правильно настроено, но почему то из Remote PC в SharePoint...

Дать интернет доступ удалённо .
Возник такой ворпос , есть в нашем городе провайдер кто предоставляет интернет и выдает внутренние...

Есть ли Cisco Feature Navigator, для Cisco ASA?
Добрый день. Меня интересует вопрос, есть ли Cisco Feature Navigator, для Cisco ASA? Необходимо...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
14
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru