отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Port Forwarding, VPN access, ASA Version 8.4(5)

Здравствуйте, Уважаемые Коллеги!

 

Прошу помощи разобраться в проблеме. Знаю что писали и пишут по этому вопросу много разъяснений, но в моем случае что-то где-то не проходит.

 

Задачи две:

 

1. Пробросить порт, например, 987 снаружи во внутренную сеть, на порт 3389. Примечание: доступ по порту извне на отличный от внешнего внутренний порт. <внешний-IP>:<внешний порт1>  ----->  <внутренний-IP>:<внутренний 

порт2>.

 

2. Настроить VPN доступ извне к внутренней сети по внешнему IP адресу.

--------------------------

 

Есть ASA 5510 на которой это надо сделать.

Есть 3 офиса связанных между собой IPSec VPN туннелями, посредством Site-to-Site.

Настроены Tunnel-group. В данной конфигурации все работает.

Не могу настроить проброс портов. Надо бывает кратковременно удаленно быстро настраивать оборудование какое либо и для этого

необходимо пробросить один порт какой-нибудь не стандартный.

 

Свои эксперименты не привожу, как не бился все равно не работает. Какие строчки куда надо добавить чтобы добиться проброса портов, 

например, с <outside-ip> порт 987  на внутренний IP <а.а.а.101> порт 3389?

Обратите внимание на версию ПО ASA Version 8.4(5)

 

-----------------------------------------------------------------------------------------------------

 

Давайте попорядку, сначала первый вопрос потом второй.

Еще не маловажный момент для меня, как выяснилось, в версиях ПО ASA отличается синтаксис и это для меня стало "засадой". В том числе есть изменения по приоритетам установки правил ACL и NAT (какое за каким). С этим я "поплыл" и окончательно запутался.

Помогите пожалуйста разобраться.

 

Спасибо!

16 ОТВЕТ.
New Member

Как-то странно работает форум

Как-то странно работает форум или это у меня что-то не так. запостил тему, а в списке ее не вижу.

Слава богу сохранил ссылку, но и по ссылке могу открыть тему только если залогинюсь. В не залогиненом режиме свою тему найти ни в не отвеченных, ни в общем списке в подразделе найти не могу.

1) http://www.cisco.com/c/en

1) http://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/nat_objects.html#wp1106703

Вас интересует static NAT-with-port-translation

Эксперименты с NAT на этой платформе способны привести к большим проблемам, так что на всякий случай настраивайте во время согласованного окна.

2) Неплохо описано в https://learningnetwork.cisco.com/thread/55669

New Member

Создал объектobject network

Создал объект

object network obj-a.a.a.8
host a.a.a.8

nat (inside,outside) static network obj-a.a.a.8 service tcp 987 3389

Добавил access-list

access-list ACL_IN extended permit tcp any object obj-a.a.a.8

 

Т.е. этим я хочу добиться чтобы при коннекте на IP внешний на outside по порту 987 меня скажем прокидывало на внутренний IP a.a.a.8 порт 3389.

Но сейчас при таких настройках не проходит коннект, на outside дропается.

В ASDM дебагом смотрел, пишет - Inbound TCP connection denied from IP на outside/порт to a.a.a.8/3389 flags SYN on interface outside.

 


Поправьте если что не правильно. Что еще надо сделать? Какие настройки произвести?

 

 

Нет, mapped идет после real.

Нет, mapped идет после real.

 

Если вешаем трансляцию на интерфейсный адрес для outside:

 hostname(config)# object network OUTSIDE-RDP
 hostname(config-network-object)# host a.a.a.8
 hostname(config-network-object)# nat (inside,outside) static interface service tcp 3389 987

 

Если не поможет, покажите:

packet-tracer input outside [откуда обращаетесь] 11111 [ваш внешний адрес] 987 detail

 

 

Надеюсь, не надо говорить, что смена порта для RDP, тем более на низко расположенный номер, не является защитой вообще? Лучше все-таки anyconnect победите.

New Member

Да. Я сам сразу увидел что

Да. Я сам сразу увидел что порты местами поменять надо. Поменял.

Результат такой же, не пускает.

Вывод пакет трэйсера:

Комманда выглядит так:

packet-tracer input outside tcp IP-источника 11111 IP-на-outside 987

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-a.a.a.8
 nat (inside,outside) static interface service tcp 3389 987
Additional Information:
NAT divert to egress interface inside
Untranslate IP-на-outside/987 to a.a.a.8/3389

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xac00dcf8, priority=0, domain=permit, deny=true
        hits=20577, user_data=0x9, cs_id=0x0, use_real_addr, flags=0x1000, proto                                                                                                                                                             col=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=outside, output_ifc=any

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

 

Дропается на access-list.

Попутно, может еще надо в global-policy инспектирование добавить, только как? Это так догадки.

Инспектирование нужно

Инспектирование нужно включать исключительно для сложных с сетевой точки зрения протоколов. RDP к ним не относится.

 

Есть ли какой-либо ACL, примененный к outside или глобально?

New Member

Кроме этого нет.access-list

Кроме этого нет.

access-list ACL_IN line 1 extended permit tcp any object obj-a.a.a.8

New Member

В ASDM выдает в дебаге 3

В ASDM выдает в дебаге 3 строки

Inbound TCP connection denied from IP-источника/порт-источника to a.a.a.8/3389 flags SYN on interface outside

В деталях пишет:


%ASA-2-106001: Inbound TCP connection denied from IP_address/port to 
IP_address/port flags tcp_flags on interface interface_name

An attempt was made to connect to an inside address is denied by the security policy that is defined for the specified traffic type. The IP address displayed is the real IP address instead of the IP address that appears through NAT. Possible tcp_flags values correspond to the flags in the TCP header that were present when the connection was denied. For example, a TCP packet arrived for which no connection state exists in the ASA, and it was dropped. The tcp_flags in this packet are FIN and ACK.     

Покажите конфигурацию,

Покажите конфигурацию, привязывающую ACL-IN куда-либо.

New Member

Все. Благодарю вас за помощь!

Все. Благодарю вас за помощь! С пробросом порта разобрался.

Надо было правило добавить запрещающее и на outside повесить.

access-list ACL_IN extended deny ip any any

access-group ACL_IN in interface outside

Что самое мне не понятное. При этом коннект проходит и все нормально работает, но packet-tracer input inside tcp IP-источника 11111 IP-outside 987 detailed

Выдает тот же самый DROP который писал выше. Мне не понятно почему.

 

Теперь по вами указанной ссылке буду VPN-access добивать.

Появятся вопросы буду тут писать в продолжении, дабы не плодить темы.

Еще раз благодарю за помощь.

PS: Иногда когда долго бьешься над какой-то задачей и не можешь ее решить, достаточно двух, трех простых слов намеком со стороны чтобы понять чего не хватает.

Если на outside не было ACL,

Если на outside не было ACL, то трафик дропался, потому что должен был пройти из низкого в высокий security-level. ACL позволяет делать исключения.

Порт 444 нигде не разрешен, потому drop закономерен.

New Member

Скажите пожалуйста, где можно

Скажите пожалуйста, где можно взять Cisco AnyConnect Secure Mobility Client?

 

Сконфигурировал, проверить не могу. С клиента соединение осуществляется с помощью ПО cisco? 

New Member

Нашел на диске в комплекте.

Нашел на диске в комплекте.

 

Соединение не происходит. Конкчюсь по IP на outside. Принимаю сертификат. Ввожу логин и пасс.

Пишет сначала AnyConnect was not able to establish a connect to the specified secure gateway. Please try connect agane.

Потом пишет VPN estableshment capability from a remote desktop is disabled. A VPN connection will not be estableshed.

 

Что я делаю не так, чего не хватает?

Вы пытаетесь запустить

Вы пытаетесь запустить anyconnect из RDP сессии. Это неплохо описано в https://supportforums.cisco.com/discussion/10801781/vpn-establishment-capability-remote-desktop-disabled

New Member

Обновил клиента до последней

Обновил клиента до последней версии, стал коннектится нормально. Только с авторизацией какие-то проблемы не пойму.

Выдает IP из диапазона мной указанного, но выдает маску 255.0.0.0 вместо 255.255.255.0 и не выдает шлюз, dns.

Из-за этого доступа к сети внутренней нет фактически.

В чем может быть дело, подскажите пожалуйста, как исправить?

Дело может быть в чем угодно.

Дело может быть в чем угодно. Конфиг бы посмотреть...

407
Просмотры
0
Полезный материал
16
Ответы