cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Configuracion ASA multiple ips publicas

Buenos dias a todos

Esperando se encuentren de lo mejor posible, me pudieras apoyar en un problema que tengo por favor.

Lo que pasa es que tengo un pool de ip 5 ips publicas,  por donde requiero publicar varios servicios y servidores hacia  internet, por lo que realize una configuracion seguiendo manuales y mi  conocimiento sobre el tema ya que no soy ningun experto, como habia  leido eso se hacia atravez de NAT estatico hacia cada una de las ip  publicas, lo cual lo realize pero al momento de probar no me funcionan  las demas direcciones, solamente responde una la cual es la que esta  conectada el cable de red Outside(wan) y configurado en la tarjeta eth 0/0.

me  podrian ayudar a decirme que es lo que hace falta para que las demas ip  respondan a las peticiones desde afuera de mi oficina por la misma tarjeta eth 0/0 por favor.

esta es la configuracion.

: Saved

:

ASA Version 8.2(1)

!

hostname Site

names

name 192.168.220.26 Server_Xen_3mb

name 192.168.220.15 Xen_App_QTP

name 192.168.220.39 Xen_App_SIAC

!

interface Ethernet0/0

nameif wan

security-level 0

ip address 192.168.11.2 255.255.255.0

!

interface Ethernet0/1

nameif lan

security-level 100

ip address 192.168.220.9 255.255.255.0

!

interface Ethernet0/2

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet0/3

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

nameif management

security-level 100

ip address 192.168.1.1 255.255.255.0

management-only

!

ftp mode passive

clock timezone CST -6

clock summer-time CDT recurring 1 Sun Apr 2:00 last Sun Oct 2:00

dns domain-lookup wan

dns server-group DNS_LAN

name-server 192.168.220.4

name-server 192.168.220.9

dns server-group DefaultDNS

name-server 200.56.224.11

name-server 200.56.233.11

object-group service Xen_App tcp

port-object eq 2598

port-object eq 3389

port-object eq 82

port-object eq citrix-ica

object-group service xen_app_SIAC tcp

port-object eq 1495

port-object eq 82

access-list wan_11_2 extended permit tcp any interface wan object-group Xen_App

access-list wan_access_in extended permit tcp any interface wan object-group Xen_App

access-list wan_access_in extended permit tcp any host 192.168.11.8 object-group Xen_App

access-list wan_access_in extended permit tcp any host 192.168.11.5 object-group xen_app_SIAC

pager lines 24

logging asdm informational

mtu wan 1500

mtu lan 1500

mtu management 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

global (wan) 1 interface

nat (lan) 1 0.0.0.0 0.0.0.0

static (lan,wan) tcp interface 82 Server_Xen_3mb www netmask 255.255.255.255

static (lan,wan) tcp interface 3389 Server_Xen_3mb 3389 netmask 255.255.255.255

static (lan,wan) tcp interface 2598 Server_Xen_3mb 2598 netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.8 82 Xen_App_QTP www netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.8 3389 Xen_App_QTP 3389 netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.5 82 Xen_App_SIAC www netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.5 1495 Xen_App_SIAC citrix-ica netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.8 2598 Xen_App_QTP 2598 netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.8 citrix-ica Xen_App_QTP citrix-ica netmask 255.255.255.255

static (lan,wan) tcp interface citrix-ica Server_Xen_3mb citrix-ica netmask 255.255.255.255

access-group wan_access_in in interface wan

route wan 0.0.0.0 0.0.0.0 192.168.11.1 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

aaa authentication ssh console LOCAL

http server enable

http 192.168.1.0 255.255.255.0 management

http 192.168.220.0 255.255.255.255 lan

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet timeout 5

ssh 192.168.11.0 255.255.255.0 wan

ssh timeout 5

ssh version 2

console timeout 0

dhcpd address 192.168.1.2-192.168.1.254 management

dhcpd enable management

!

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

!

class-map global-class

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

  message-length maximum 512

policy-map global-policy

class global-class

  inspect dns preset_dns_map

  inspect esmtp

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect icmp

  inspect netbios

  inspect rsh

  inspect rtsp

  inspect sip

  inspect skinny

  inspect sqlnet

  inspect sunrpc

  inspect tftp

  inspect xdmcp

!

service-policy global-policy global

: end

4 SOLUCIONES ACEPTADAS

Soluciones aceptadas

Configuracion ASA multiple ips publicas

Buenas Oscar,

La configuracion esta bien, parece un problema de ARP.

Solucion:

Es posible que el ISP meta entradas estaticas hacia esas ips apuntando a la mac de la interface del outside del asa?

Si la respuesta es si ve por ello,

Saludos

For Networking Posts check my blog at http://www.laguiadelnetworking.com/category/english/


Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com

Configuracion ASA multiple ips publicas

Buenas Oscar,

Como te dije, meterse al router del ISP y configurar entradas de ARP staticas apuntando hacia las IPS del NAT del ASA.

La otra opcion es generar un gratitious ARP en el ASA,

Para ello deberias de hacer lo siguiente:

interface Ethernet0/0

ip adress 192.168.11.8

ip add 192.168.11.5

ip address 192.168.11.2

Vamos a cambiar la IP de la interface (esto genera un gratitious ARP), Al final la dejaremos con 11.2

Hazme saber si la opcion 2 te sirve (ojo, los VPNs se iran abajo ya que cambiaremos la IP por unos segundos), si esto no es posible entonces ve con opcion 1 (entradas staticas ISP)

For Networking Posts check my blog at http://www.laguiadelnetworking.com/category/english/

Cheers,

Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com

Configuracion ASA multiple ips publicas

Buenas Oscar,

El ASA usara Proxy-ARP (No ocupas configurar IPs virtuales, solo el NAT y listo)

Okey, en el ISP tienen ARP de manera dinamica pero me cuentas que en la tabla ARP de ellos tienes las siguientes entradas:

Internet  192.168.11.2            0     ARPA   Vlan11

Internet  192.168.11.5          174    ARPA   Vlan11

Internet  192.168.11.6          200    ARPA   Vlan11

Internet  192.168.11.7          187    ARPA   Vlan11

Internet  192.168.11.8           62     ARPA   Vlan11

Esa MAC es la de la interface del outside?

For Networking Posts check my blog at http://www.laguiadelnetworking.com/category/english/

Cheers,

Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com

Configuracion ASA multiple ips publicas

Hola Oscar,

Excelente,

Recuerda marcar la pregunta como resuelta y darle puntos a los posts que lo valgan.

Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
11 RESPUESTAS

Configuracion ASA multiple ips publicas

Buenas Oscar,

La configuracion esta bien, parece un problema de ARP.

Solucion:

Es posible que el ISP meta entradas estaticas hacia esas ips apuntando a la mac de la interface del outside del asa?

Si la respuesta es si ve por ello,

Saludos

For Networking Posts check my blog at http://www.laguiadelnetworking.com/category/english/


Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
New Member

Configuracion ASA multiple ips publicas

Muchas Gracias por tu pronta respuesta.

si es asi que se debe de hacer?

saludos.

Configuracion ASA multiple ips publicas

Buenas Oscar,

Como te dije, meterse al router del ISP y configurar entradas de ARP staticas apuntando hacia las IPS del NAT del ASA.

La otra opcion es generar un gratitious ARP en el ASA,

Para ello deberias de hacer lo siguiente:

interface Ethernet0/0

ip adress 192.168.11.8

ip add 192.168.11.5

ip address 192.168.11.2

Vamos a cambiar la IP de la interface (esto genera un gratitious ARP), Al final la dejaremos con 11.2

Hazme saber si la opcion 2 te sirve (ojo, los VPNs se iran abajo ya que cambiaremos la IP por unos segundos), si esto no es posible entonces ve con opcion 1 (entradas staticas ISP)

For Networking Posts check my blog at http://www.laguiadelnetworking.com/category/english/

Cheers,

Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
New Member

Configuracion ASA multiple ips publicas

buenos dias

no funciono haciendo un gratitious ARP, ahora vamos hacer lo primero verificar en conjunton con el ISP las rutas estaticas.

lo que no me queda claro es, si el asa en si fisicamente solamente tiene conectado un cable con la ip 192.168.11.2, como va estar activa para las demas ips del pool, 192.168.11.3 para la 11.4 y asi sucesivamente. con el Nat que estableci y los access list asi solamente se dan de alta esas ips del pool , o se necesita crear o dar de alta en otro lado las ips outside?.

por que en otros firewalls, se crean como ips virtuales supongamos tengo la outside principal la 11.2  por eth 0/0, las demas ips se dan de alta en la eth 0/0.1 con la ip 192.168.11.3 y asi conforme al resto de las ips, en el ASA no funciona de esa manera?

saludos.

New Member

Configuracion ASA multiple ips publicas

En efecto hoy solicite una muestra del ARP de mi ISP y fue la siguiente:

Te envio la Resolución ARP de las ips que tienen NAT uno a uno con ip publicas.

Internet  192.168.11.2            0     ARPA   Vlan11

Internet  192.168.11.5          174    ARPA   Vlan11

Internet  192.168.11.6          200    ARPA   Vlan11

Internet  192.168.11.7          187    ARPA   Vlan11

Internet  192.168.11.8           62     ARPA   Vlan11

donde el ARP de mi proveedor de servicios de internet lo tienen configurado de manera dinamica.

Configuracion ASA multiple ips publicas

Buenas Oscar,

El ASA usara Proxy-ARP (No ocupas configurar IPs virtuales, solo el NAT y listo)

Okey, en el ISP tienen ARP de manera dinamica pero me cuentas que en la tabla ARP de ellos tienes las siguientes entradas:

Internet  192.168.11.2            0     ARPA   Vlan11

Internet  192.168.11.5          174    ARPA   Vlan11

Internet  192.168.11.6          200    ARPA   Vlan11

Internet  192.168.11.7          187    ARPA   Vlan11

Internet  192.168.11.8           62     ARPA   Vlan11

Esa MAC es la de la interface del outside?

For Networking Posts check my blog at http://www.laguiadelnetworking.com/category/english/

Cheers,

Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
New Member

Configuracion ASA multiple ips publicas

ok ya entendi gracias.

Si Julio mi proveedor lo maneja asi de forma dinamica, y esa MAC que aparece ahi es la mac del firewall en su interface (outside) que se encuentra ahorita que es un Linux, donde ese maneja la forma que te habia dicho eth 0/0  y eth 0/0.1 esta conectado ese firewall en estos momentos por que no puedo parar la produccion, y las pruebas las realizo de forma de ventana de mantenimiento no mayor a 15 minutos.

New Member

Configuracion ASA multiple ips publicas

Buenas Tardes

gracias por tu ayuda, lo revice con mi proveedor de ISP y cuando realize las pruebas, le pedi ami proveedor de servicios que refrescara la tabala ARP para que detectara el cambio instantaneo lo cual mi problema ya quedo resuelto al responder a los servicios que tengo publicado.

saludos.

Configuracion ASA multiple ips publicas

Hola Oscar,

Excelente,

Recuerda marcar la pregunta como resuelta y darle puntos a los posts que lo valgan.

Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
New Member

Configuracion ASA multiple ips publicas

Muchas gracias por tu apoyo.

ahora voy a buscar en el foto algo de vpn site to site ya que la levante y no me responde la LAN del otro lado.

saludos.

Configuracion ASA multiple ips publicas

Buenas Oscar,

Claro crea la discusion y con mucho gusto te ayudare


Saludos

Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
838
Visitas
0
ÚTIL
11
Respuestas