ASA5505 Port forward non va... configurazione semplice

[scmatteo]

nulla da fare...
dalla console ASDM vedo che dall'esterno avvine la richiesta sulla posta 80...
ma vedo questo errore:

TCP access denied by ACL from IPPUBBLICOCLIENT/52657 to outside 192.168.0.2/80

[orion]

nulla da fare...
dalla console ASDM vedo che dall'esterno avvine la richiesta sulla posta 80...
ma vedo questo errore:

TCP access denied by ACL from IPPUBBLICOCLIENT/52657 to outside 192.168.0.2/80

Ciao,
putroppo non so che dirti, l'ASA non mi è per niente familiare.
Ho provato su internet a cercare il messaggio che ottieni (http://www.velocityreviews.com/forums/t ... oblem.html)
prova a vedere un po'.
Ho notato la presenza del Web server interno attivo.
Potresti fare una cosa per gradi.
Prima cercare di raggiungere il web server dell'ASA dall'esterno.
E poi nattare la porta che ti interessa sul server!
saluti

[scmatteo]

potrebbe aiutare questo packet trace?
[/img]

[orion]

Poco!Comunque a quanto pare è una delle ACL a droppare i pacchetti.
Poi nella VLAN c'è un security level

Codice: Seleziona tutto

 security-level 100 

che significa "Security level 100—The highest possible level, it is used by the inside interface by default. Using the trusted-untrusted terminology, this level is considered the most trusted."
potresti provare a metterlo a 0.
Poi l'ACL creata

Codice: Seleziona tutto

access-list Out_to_In extended permit tcp any host 192.168.1.90 object-group Out 

dovrebbe significare
"permetti il traffico TCP proveniente da qualsiasi parte e destinato all'IP 192.168.1.90 dei servizi appartenenti al gruppo OUTtoIN (www ed ftp).
Io farei una cosa.
a) security level a 0 nella VLAN1;
b) trasformerei la regola in permetti qualsiasi traffico da qualsiasi sorgente a qualsiasi destinazione;
Se così funziona il problema sono le ACL (e ci può stare visto che nello screenshot c'è scritto così), altrimenti se il problema c'è da aggiustare il NAT.

saluti

[scmatteo]

ciao orion, intanto ti ringrazio per l'interessamento al mio problema...
e ti comunico che impostanto a 0 la level security e impostanto any al posto del group acces..... non va lo stesso...
è incredibile...

ma a questo punto mi viene il dubbio che sia il router di alice...
potrebbe essere?

sul router ho forwardato tutte le porte versio l'ip dell'asa...

[orion]

ciao orion, intanto ti ringrazio per l'interessamento al mio problema...
e ti comunico che impostanto a 0 la level security e impostanto any al posto del group acces..... non va lo stesso...
è incredibile...

ma a questo punto mi viene il dubbio che sia il router di alice...
potrebbe essere?

sul router ho forwardato tutte le porte versio l'ip dell'asa...

Figurati!
Arrivati a questo punto la cosa inizia a diventare antipatica!
Il router di Alice ha qualche impostazione firewall??
Poi come sono collegati il router ed l'ASA?
Intendo l'indirizzo acquisito dal router viene direttamente traslato all'ASA?
Come tentativo estremo potresti collegare il router al server web direttamente x vedere se in questo modo dall'esterno riesci ad andare, se funziona il router alice è innocente.