Как дать доступ в интернет (cisco asa).

21.12.2012, 03:09. **Показов** 12341. **Ответов** 13

Добрый день,
Вопрос по Cisco ASA 55XX.
Только сильно не пинайте, новичок.
Залил свежий ASDM, IOS (asa901-k8.bin немножко отличный синтаксис), поднял ppp client (outside) 200.100.23.1 (как пример), поднял локальную сеть (inside) 192.168.0.1, dhcp сервер.
На самой Cisco ASA интернет есть, icmp пакеты проходят.
Как дать достум в интернет из локальной сети не понял.
security level outside 0, inside 100.
Если не сложно, напишите пожалуйста образные примеры:

1) допустим публикация веб сервера из inside, outside на 192.168.0.2
2) разрешить полный доступ в интернет (nat) клиенту 192.168.0.3
3) разрешить только протокол http клиенту 192.168.0.4

Большое спасибо,
курю книжки долго, потихоньку получается.

Jabbson · 21.12.2012, 18:35

Вот нечто похожая топология...

есть клиенты на левой стороны (.10, .20, .30) и хост на правой

1) допустим публикация веб сервера из inside, outside на 192.168.1.10
обращаемся на адрес outside по 80 порту и перенаправляемся на хост 192.168.1.10

Код

object network 192168110
 host 192.168.1.10
 nat (inside,outside) static interface service tcp www www

access-list 100 extended permit tcp any host 192.168.1.10 eq www 
access-group 100 in interface outside

при этом на другой порт нас не пустит из outside:

2) разрешить полный доступ в интернет (nat) клиенту 192.168.1.20
обращаемся на 200.100.23.254, например, по портам 80 и 443 с .20, оба раза успех.

Код

object network 192168120
 host 192.168.1.20
 nat (inside,outside) static interface

3) разрешить только протокол http клиенту 192.168.1.30
обращаемся на 200.100.23.254 по тем же портам 80 и 443 с .30, - с 80 успех, с 443 - нет.

Код

object network 192168130
 host 192.168.1.30

nat (inside,outside) source static 192168130 interface service WWW WWW

@jorik1 · 03.01.2013, 13:03

Сообщение от Jabbson

Вот нечто похожая топология...

есть клиенты на левой стороны (.10, .20, .30) и хост на правой
Вложение 216423

1) допустим публикация веб сервера из inside, outside на 192.168.1.10
обращаемся на адрес outside по 80 порту и перенаправляемся на хост 192.168.1.10

Код

object network 192168110
 host 192.168.1.10
 nat (inside,outside) static interface service tcp www www

access-list 100 extended permit tcp any host 192.168.1.10 eq www 
access-group 100 in interface outside

Вложение 216426
при этом на другой порт нас не пустит из outside:
Вложение 216427

2) разрешить полный доступ в интернет (nat) клиенту 192.168.1.20
обращаемся на 200.100.23.254, например, по портам 80 и 443 с .20, оба раза успех.

Код

object network 192168120
 host 192.168.1.20
 nat (inside,outside) static interface

Вложение 216428

3) разрешить только протокол http клиенту 192.168.1.30
обращаемся на 200.100.23.254 по тем же портам 80 и 443 с .30, - с 80 успех, с 443 - нет.

Код

object network 192168130
 host 192.168.1.30

nat (inside,outside) source static 192168130 interface service WWW WWW

Вложение 216430

Спасибо, главная проблема в настройке железки была,
1. в прилагаемых доках asdm, по сути его не было
2. прежде чем прописывать правила, нужно сделать нат для внутренней сети. (!)

Пока пользуюсь ASDM, во первых правил будет много, а во вторых новая версия IOS поменяла синтаксис многих команд, т.е. не работает куча примеров.

@jorik1 · 03.01.2013, 13:07

А можно еще один вопрос?
В аттаче настройка нат и редиректа.
допустим есть сеть 192.168.0.0/24
есть веб сервер 192.168.0.14
в моем конфиге все работает, если набрать сайт.рф из интернета он отображается, но если набрать из внутренней сети, то нет.
Подскажите как правильно пофиксить проблему.

большое спасибо и с прошедшим новым годом!

Jabbson · 03.01.2013, 13:12

Если я правильно понял и Вам нужно открывать один и тот же внутренний сайт из интернета и из внутренней сети, то принципиально верным решением задачи является сплит-днс.

@jorik1 · 03.01.2013, 13:26

Сообщение от Jabbson

Если я правильно понял и Вам нужно открывать один и тот же внутренний сайт из интернета и из внутренней сети, то принципиально верным решением задачи является сплит-днс.

спасибо, прочитал про эту технологию.
наверное грамотрее было вынести в dmz ну да ладно.
Да это сайт, причем внешний (то есть не внутренний портал), назовем www.site.ru
Из интернета все красиво открывается, а вот из внутренней сети если набрать www.site.ru логи говорят tcp access denied by ACL from to.

Jabbson · 03.01.2013, 15:40

Если у Вас собственный внутренний днс - делайте на нём сплит - одним сетям отдавайте один адрес, другим - другой, если же днс внешний - то, что Вы ищите называется "DNS Doctoring". Почитать можно тут.

@jorik1 · 04.01.2013, 10:28

Сегодня пол дня провел за настройкой и экспериментами.
Итак, обновил прошивку и ASDM.

Допустим есть внешний адрес на ASA, пусть 200.1.1.5, веб сервер 192.168.0.14 и клиент из внутренней сети 192.168.0.181

Если сказать на клиенте telnet www.web.ru 80 или telnet 200.1.1.5 80 идет ошибка,

Failed to locate egress interface for TCP from local: 192.168.0.181/4414 to 200.1.1.5/80

Из интернета telnet www.web.ru 80 или telnet 200.1.1.5 80 все красиво коннектиться.

Мда, веселая эта ASA. Поборю эту проблему и поставлю точку в настройке.
Гляньте пожалуйста.
Спасибо.

@jorik1 · 04.01.2013, 10:29

То есть тут дело не в ДНС.

Jabbson · 04.01.2013, 11:20

а точный маршрут или "маршрут по умолчанию" есть?

@jorik1 · 04.01.2013, 11:31

Если можно я Вам сейчас скину конфиг в личку

Jabbson · 05.01.2013, 14:44

Jabbson, гляньте пожалуйста мой конфиг, я уже замучился который день с этим глюком.
гугл коворит, что такие пробемы были и даже приводит решения, но, спасибо товарищам за смену синтаксиса, global теперь нет.

отвечу тут, может кому пригодится еще.

Итак, схема:

Есть некий сервер во внутренней сети, который должен быть доступен по доменному имени, скажем web.example.com как из внутренней, так и из внешней сети.

DNS сервер на запрос по этому адресу возвращает внешний адрес нашей асы - 212.19.6.18:

настройки Асы (версия 8.2, думаю переделать под 9 сможете сами):

Код

interface Ethernet0/0
 nameif inet
 security-level 0
 pppoe client vpdn group intenet
 ip address pppoe setroute 

access-list inet_access_in extended permit ip any any
access-group inet_access_in in interface inet
 
nat (local) 10 192.168.0.0 255.255.255.0
global (inet) 10 interface
static (local,inet) interface 192.168.0.14 netmask 255.255.255.255 dns 

route inet 0.0.0.0 0.0.0.0 212.19.6.1 1

vpdn group intenet request dialout pppoe
vpdn group intenet localname username1
vpdn group intenet ppp authentication pap
vpdn username username1 password password1 

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect dns 

service-policy global_policy global

Проверка:

INTERNAL_HOST

INTERNAL_HOST#telnet web.example.com 80
Translating "web.example.com"...domain server (10.10.10.10) [OK]
Trying web.example.com (192.168.0.14, 80)... Open
^C
HTTP/1.1 400 Bad Request
Date: Fri, 01 Mar 2002 02:44:04 GMT
Server: cisco-IOS
Accept-Ranges: none

400 Bad Request

[Connection to web.example.com closed by foreign host]
INTERNAL_HOST#

EXTERNAL_HOST

EXTERNAL_HOST#telnet web.example.com 80
Translating "web.example.com"...domain server (10.10.10.10) [OK]
Trying web.example.com (212.19.6.18, 80)... Open
^C
HTTP/1.1 400 Bad Request
Date: Fri, 01 Mar 2002 02:44:33 GMT
Server: cisco-IOS
Accept-Ranges: none

400 Bad Request

[Connection to web.example.com closed by foreign host]
EXTERNAL_HOST#

Jabbson · 05.01.2013, 15:05

куда-то из предыдущего конфига пропал local интерфейс:

Код

interface Ethernet0/1
 nameif local
 security-level 100
 ip address 192.168.0.1 255.255.255.0

как вы понимаете, конфиг сделан быстро, на колене и шорткатами - как то "permit ip any any". Учитывайте это, пожалуйста, при настройке своей сети.

@jorik1 · 05.01.2013, 18:56

спасибо, пойду опять читать мануалы, что же они так накрутили на версии 8.3 с натом и главный вопрос - ну зачем???

jekaa
		1
	Как дать доступ в интернет (cisco asa). 21.12.2012, 03:09. Показов 12341. Ответов 13 Метки нет (Все метки) Добрый день, Вопрос по Cisco ASA 55XX. Только сильно не пинайте, новичок. Залил свежий ASDM, IOS (asa901-k8.bin немножко отличный синтаксис), поднял ppp client (outside) 200.100.23.1 (как пример), поднял локальную сеть (inside) 192.168.0.1, dhcp сервер. На самой Cisco ASA интернет есть, icmp пакеты проходят. Как дать достум в интернет из локальной сети не понял. security level outside 0, inside 100. Если не сложно, напишите пожалуйста образные примеры: 1) допустим публикация веб сервера из inside, outside на 192.168.0.2 2) разрешить полный доступ в интернет (nat) клиенту 192.168.0.3 3) разрешить только протокол http клиенту 192.168.0.4 Большое спасибо, курю книжки долго, потихоньку получается.

Jabbson 5880 / 3340 / 1031 Регистрация: 03.11.2009 Сообщений: 9,964
	21.12.2012, 18:35	2
	Вот нечто похожая топология... есть клиенты на левой стороны (.10, .20, .30) и хост на правой 1) допустим публикация веб сервера из inside, outside на 192.168.1.10 обращаемся на адрес outside по 80 порту и перенаправляемся на хост 192.168.1.10 Код object network 192168110 host 192.168.1.10 nat (inside,outside) static interface service tcp www www access-list 100 extended permit tcp any host 192.168.1.10 eq www access-group 100 in interface outside при этом на другой порт нас не пустит из outside: 2) разрешить полный доступ в интернет (nat) клиенту 192.168.1.20 обращаемся на 200.100.23.254, например, по портам 80 и 443 с .20, оба раза успех. Код object network 192168120 host 192.168.1.20 nat (inside,outside) static interface 3) разрешить только протокол http клиенту 192.168.1.30 обращаемся на 200.100.23.254 по тем же портам 80 и 443 с .30, - с 80 успех, с 443 - нет. Код object network 192168130 host 192.168.1.30 nat (inside,outside) source static 192168130 interface service WWW WWW 0

@jorik1 0 / 0 / 0 Регистрация: 16.12.2012 Сообщений: 8
	03.01.2013, 13:03	3
	Сообщение от Jabbson Вот нечто похожая топология... есть клиенты на левой стороны (.10, .20, .30) и хост на правой Вложение 216423 1) допустим публикация веб сервера из inside, outside на 192.168.1.10 обращаемся на адрес outside по 80 порту и перенаправляемся на хост 192.168.1.10 Код object network 192168110 host 192.168.1.10 nat (inside,outside) static interface service tcp www www access-list 100 extended permit tcp any host 192.168.1.10 eq www access-group 100 in interface outside Вложение 216426 при этом на другой порт нас не пустит из outside: Вложение 216427 2) разрешить полный доступ в интернет (nat) клиенту 192.168.1.20 обращаемся на 200.100.23.254, например, по портам 80 и 443 с .20, оба раза успех. Код object network 192168120 host 192.168.1.20 nat (inside,outside) static interface Вложение 216428 3) разрешить только протокол http клиенту 192.168.1.30 обращаемся на 200.100.23.254 по тем же портам 80 и 443 с .30, - с 80 успех, с 443 - нет. Код object network 192168130 host 192.168.1.30 nat (inside,outside) source static 192168130 interface service WWW WWW Вложение 216430 Спасибо, главная проблема в настройке железки была, 1. в прилагаемых доках asdm, по сути его не было 2. прежде чем прописывать правила, нужно сделать нат для внутренней сети. (!) Пока пользуюсь ASDM, во первых правил будет много, а во вторых новая версия IOS поменяла синтаксис многих команд, т.е. не работает куча примеров. 0

@jorik1 0 / 0 / 0 Регистрация: 16.12.2012 Сообщений: 8
	03.01.2013, 13:07	4
	А можно еще один вопрос? В аттаче настройка нат и редиректа. допустим есть сеть 192.168.0.0/24 есть веб сервер 192.168.0.14 в моем конфиге все работает, если набрать сайт.рф из интернета он отображается, но если набрать из внутренней сети, то нет. Подскажите как правильно пофиксить проблему. большое спасибо и с прошедшим новым годом! Миниатюры 0

Jabbson 5880 / 3340 / 1031 Регистрация: 03.11.2009 Сообщений: 9,964
	03.01.2013, 13:12	5
	Если я правильно понял и Вам нужно открывать один и тот же внутренний сайт из интернета и из внутренней сети, то принципиально верным решением задачи является сплит-днс. 0

@jorik1 0 / 0 / 0 Регистрация: 16.12.2012 Сообщений: 8
	03.01.2013, 13:26	6
	Сообщение от Jabbson Если я правильно понял и Вам нужно открывать один и тот же внутренний сайт из интернета и из внутренней сети, то принципиально верным решением задачи является сплит-днс. спасибо, прочитал про эту технологию. наверное грамотрее было вынести в dmz ну да ладно. Да это сайт, причем внешний (то есть не внутренний портал), назовем www.site.ru Из интернета все красиво открывается, а вот из внутренней сети если набрать www.site.ru логи говорят tcp access denied by ACL from to. 0

Jabbson 5880 / 3340 / 1031 Регистрация: 03.11.2009 Сообщений: 9,964
	03.01.2013, 15:40	7
	Если у Вас собственный внутренний днс - делайте на нём сплит - одним сетям отдавайте один адрес, другим - другой, если же днс внешний - то, что Вы ищите называется "DNS Doctoring". Почитать можно тут. 1

@jorik1 0 / 0 / 0 Регистрация: 16.12.2012 Сообщений: 8
	04.01.2013, 10:28	8
	Сегодня пол дня провел за настройкой и экспериментами. Итак, обновил прошивку и ASDM. Допустим есть внешний адрес на ASA, пусть 200.1.1.5, веб сервер 192.168.0.14 и клиент из внутренней сети 192.168.0.181 Если сказать на клиенте telnet www.web.ru 80 или telnet 200.1.1.5 80 идет ошибка, Failed to locate egress interface for TCP from local: 192.168.0.181/4414 to 200.1.1.5/80 Из интернета telnet www.web.ru 80 или telnet 200.1.1.5 80 все красиво коннектиться. Мда, веселая эта ASA. Поборю эту проблему и поставлю точку в настройке. Гляньте пожалуйста. Спасибо. Миниатюры 0

@jorik1 0 / 0 / 0 Регистрация: 16.12.2012 Сообщений: 8
	04.01.2013, 10:29	9
	То есть тут дело не в ДНС. 0

Jabbson 5880 / 3340 / 1031 Регистрация: 03.11.2009 Сообщений: 9,964
	04.01.2013, 11:20	10
	а точный маршрут или "маршрут по умолчанию" есть? 0

Опции темы

@jorik1 0 / 0 / 0 Регистрация: 16.12.2012 Сообщений: 8
	04.01.2013, 11:31	11
	Если можно я Вам сейчас скину конфиг в личку 0

Jabbson 5880 / 3340 / 1031 Регистрация: 03.11.2009 Сообщений: 9,964
	05.01.2013, 14:44	12
	Jabbson, гляньте пожалуйста мой конфиг, я уже замучился который день с этим глюком. гугл коворит, что такие пробемы были и даже приводит решения, но, спасибо товарищам за смену синтаксиса, global теперь нет. отвечу тут, может кому пригодится еще. Итак, схема: Есть некий сервер во внутренней сети, который должен быть доступен по доменному имени, скажем web.example.com как из внутренней, так и из внешней сети. DNS сервер на запрос по этому адресу возвращает внешний адрес нашей асы - 212.19.6.18: настройки Асы (версия 8.2, думаю переделать под 9 сможете сами): Код interface Ethernet0/0 nameif inet security-level 0 pppoe client vpdn group intenet ip address pppoe setroute access-list inet_access_in extended permit ip any any access-group inet_access_in in interface inet nat (local) 10 192.168.0.0 255.255.255.0 global (inet) 10 interface static (local,inet) interface 192.168.0.14 netmask 255.255.255.255 dns route inet 0.0.0.0 0.0.0.0 212.19.6.1 1 vpdn group intenet request dialout pppoe vpdn group intenet localname username1 vpdn group intenet ppp authentication pap vpdn username username1 password password1 class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect dns service-policy global_policy global Проверка: INTERNAL_HOST INTERNAL_HOST#telnet web.example.com 80 Translating "web.example.com"...domain server (10.10.10.10) [OK] Trying web.example.com (192.168.0.14, 80)... Open ^C HTTP/1.1 400 Bad Request Date: Fri, 01 Mar 2002 02:44:04 GMT Server: cisco-IOS Accept-Ranges: none 400 Bad Request [Connection to web.example.com closed by foreign host] INTERNAL_HOST# EXTERNAL_HOST EXTERNAL_HOST#telnet web.example.com 80 Translating "web.example.com"...domain server (10.10.10.10) [OK] Trying web.example.com (212.19.6.18, 80)... Open ^C HTTP/1.1 400 Bad Request Date: Fri, 01 Mar 2002 02:44:33 GMT Server: cisco-IOS Accept-Ranges: none 400 Bad Request [Connection to web.example.com closed by foreign host] EXTERNAL_HOST# 0

Jabbson 5880 / 3340 / 1031 Регистрация: 03.11.2009 Сообщений: 9,964
	05.01.2013, 15:05	13
	куда-то из предыдущего конфига пропал local интерфейс: Код interface Ethernet0/1 nameif local security-level 100 ip address 192.168.0.1 255.255.255.0 как вы понимаете, конфиг сделан быстро, на колене и шорткатами - как то "permit ip any any". Учитывайте это, пожалуйста, при настройке своей сети. 0

@jorik1 0 / 0 / 0 Регистрация: 16.12.2012 Сообщений: 8
	05.01.2013, 18:56	14
	спасибо, пойду опять читать мануалы, что же они так накрутили на версии 8.3 с натом и главный вопрос - ну зачем??? 0