Web Server
Moderatore: Federico.Lagni
-
RJ45
- Network Emperor
- Messaggi: 456
- Iscritto il: mer 07 giu , 2006 6:40 am
- Località: Udine (UD)
Rieccomi,
per l'Asdm prova a controllare se l'username con cui entri ha un livello di priviledge inferiore a 15 (quando crei un nuovo utente il livello di default è 2). Se è così modificalo con 15, altrimenti da Asdm non puoi vedere né modificare nulla.
Per il resto, mi servirebbe uno straccio di schema della tua rete. Mi pare di capire che hai 2 gateway e 2 link wan. Ovviamente uno dei due è il default gateway. Se riesci a postare un disegno magari mi è più facile aiutarti.
Andrea.
per l'Asdm prova a controllare se l'username con cui entri ha un livello di priviledge inferiore a 15 (quando crei un nuovo utente il livello di default è 2). Se è così modificalo con 15, altrimenti da Asdm non puoi vedere né modificare nulla.
Per il resto, mi servirebbe uno straccio di schema della tua rete. Mi pare di capire che hai 2 gateway e 2 link wan. Ovviamente uno dei due è il default gateway. Se riesci a postare un disegno magari mi è più facile aiutarti.
Andrea.
-
litium
- n00b
- Messaggi: 18
- Iscritto il: mar 07 ott , 2008 11:23 am
Per quanto riguarda l'ASDM proverò a fare come dici anche se fino a prima della modifica dell'icmp riuscivo tranquillamente ad agire tramite asdm.
Per il resto cerco di descriverti brevemente la struttura della LAN:
Tutta la Lan gira sotto la subnet 192.168.xxx.0, in realtà sono due LAN collegate da un bridge wireless fra due sedi. Per questo hanno due gateway, due link wan, due firewall, due pacchetti di IP pubblici. Sotto una di queste è necessario configurare un server mail in DMZ, secondo le configurazioni che ti ho inviato.
Come ti dicevo attualmente la situazione è questa:
con il server mail navigo tranquillamente; riesco ad accederci dal gateway non direttamente connesso alla DMZ, ma non riesco ad accederci e quindi neanche a scaricare o inviare posta dal Gateway che la DMZ utilizza per uscire fuori.
Spero di esser stato chiaro...per ogni altra informazione ti necessiti fammi sapere. Grazie mille dell'aiuto e della disponibilità. Attendo con ansia una tua risposta.
Per il resto cerco di descriverti brevemente la struttura della LAN:
Tutta la Lan gira sotto la subnet 192.168.xxx.0, in realtà sono due LAN collegate da un bridge wireless fra due sedi. Per questo hanno due gateway, due link wan, due firewall, due pacchetti di IP pubblici. Sotto una di queste è necessario configurare un server mail in DMZ, secondo le configurazioni che ti ho inviato.
Come ti dicevo attualmente la situazione è questa:
con il server mail navigo tranquillamente; riesco ad accederci dal gateway non direttamente connesso alla DMZ, ma non riesco ad accederci e quindi neanche a scaricare o inviare posta dal Gateway che la DMZ utilizza per uscire fuori.
Spero di esser stato chiaro...per ogni altra informazione ti necessiti fammi sapere. Grazie mille dell'aiuto e della disponibilità. Attendo con ansia una tua risposta.
-
RJ45
- Network Emperor
- Messaggi: 456
- Iscritto il: mer 07 giu , 2006 6:40 am
- Località: Udine (UD)
E' strano, Asdm usa tcp 443 e non icmp. Riposta la configurazione attuale che ci do un'occhiata, oppure mandamela in pm.Per quanto riguarda l'ASDM proverò a fare come dici anche se fino a prima della modifica dell'icmp riuscivo tranquillamente ad agire tramite asdm.
ok, inserisci questo e fammi sapere:Come ti dicevo attualmente la situazione è questa:
con il server mail navigo tranquillamente; riesco ad accederci dal gateway non direttamente connesso alla DMZ, ma non riesco ad accederci e quindi neanche a scaricare o inviare posta dal Gateway che la DMZ utilizza per uscire fuori.
Codice: Seleziona tutto
static (LAN, DMZ) 192.168.1.0 192.168.1.0 netmask 255.255.255.0Di niente, figurati, l'importante è che risolviamo!Grazie mille dell'aiuto e della disponibilità. Attendo con ansia una tua risposta.
-
litium
- n00b
- Messaggi: 18
- Iscritto il: mar 07 ott , 2008 11:23 am
Quindi se ho ben capito devo fare un NAT statico tra Lan e DMZ ma usando la stessa subnet della Lan per la DMZ (cioè usando la seconda scheda di rete del server mail).
In ogni caso ti riposto la configurazione dell'ASA e del router così dai un'occhiata anche al problema dell'ASDM.
ROUTER CISCO 870
Current configuration : 4505 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 52000
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2559140674
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2559140674
revocation-check none
rsakeypair TP-self-signed-2559140674
!
!
crypto pki certificate chain TP-self-signed-2559140674
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32353539 31343036 3734301E 170D3032 30333031 30303037
30335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 35353931
34303637 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100ABE2 6FDD933E 9D8F86E2 3B858E80 D7DF9EDD 74FC231E 2B63C0F9 881FCD43
9A74ACB6 EB20D9F9 F4C92D8D 828EF81A 648742A8 8A77B7DB A6495C1B 242D1DC1
19990F25 CF0F06F6 AFC40253 B1A88295 49B7287E 458AD0E8 E0371581 972EE89F
795391EA 5A2E16A3 7DC386EB 5150954F 0773A3A3 FDC2F8DB E195CF9A BC5B57C2
69E10203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
301F0603 551D2304 18301680 149FAB9B 7EE72F46 51F85154 F572D998 D0765DF4
A8301D06 03551D0E 04160414 9FAB9B7E E72F4651 F85154F5 72D998D0 765DF4A8
300D0609 2A864886 F70D0101 04050003 81810091 5056D647 2B893B2E 8FDC7CAA
205D9AAC 5CAA7DFB 66E77B6C 28CC2695 F61E808F 92285FED D27B0F3C E123A5E8
0C6175DE EA3FE96D 34A083D1 46470B50 F76966EE DDC545D8 8E236C3E 82823612
441FB6AA E6A578D8 4631EA67 290F8DF9 18667149 A1BD43D8 2BB254E0 709C5A55
A5CEFE86 6A38B63C 50995A38 28A21CD0 7C3AAF
quit
dot11 syslog
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip domain name yourdomain.com
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
!
!
username devivosrl privilege 15 secret 5 $1$/GRC$vPN7J56aUZftwoC3Vers.1
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.xxx.xxx.42 255.255.255.252
ip nat outside
ip virtual-reassembly
pvc 8/35
oam-pvc manage
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 88.xxx.xxx.49 255.255.255.248
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 88.xx.xxx.41 permanent
ip route 88.xxx.xxx.40 255.255.255.252 88.xxx.xxx.41 permanent
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip access-list extended Inbound
remark SDM_ACL Category=1
permit ip host 88.xxx.xxx.51 host 10.10.10.2
ip access-list extended Outbound
remark SDM_ACL Category=1
permit ip host 10.10.10.2 host 88.xxx.xxx.51
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 88.xxx.xxx.48 0.0.0.7
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 10.10.10.1
no cdp run
!
!
!
control-plane
!
banner login ^C
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device.
This feature requires the one-time use of the username "cisco"
with the password "cisco". The default username and password have a privilege level of 15.
Please change these publicly known initial credentials using SDM or the IOS CLI.
Here are the Cisco IOS commands.
username <myuser> privilege 15 secret 0 <mypassword>
no username cisco
Replace <myuser> and <mypassword> with the username and password you want to use.
For more information about SDM please follow the instructions in the QUICK START
GUIDE for your router or go to http://www.cisco.com/go/sdm
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
ASA 5510
ASA Version 7.0(7)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 6Lgd85RgpRgrUvG9 encrypted
names
dns-guard
!
interface Ethernet0/0
nameif WAN
security-level 0
ip address 88.XXX.XXX.50 255.255.255.248
!
interface Ethernet0/1
nameif LAN
security-level 100
ip address 192.168.1.111 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 10.10.10.2 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 10.30.30.10 255.255.255.0
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 101 extended permit tcp any host 88.XXX.XXX.51 eq smtp
access-list 101 extended permit tcp any host 88.XXX.XXX.51 eq www
access-list 101 extended permit tcp any host 88.XXX.XXX.51 eq pop3
pager lines 24
logging asdm informational
mtu WAN 1500
mtu LAN 1500
mtu DMZ 1500
mtu management 1500
asdm image disk0:/asdm-507.bin
asdm location 10.10.10.30 255.255.255.255 DMZ
no asdm history enable
arp timeout 14400
global (WAN) 200 interface
nat (LAN) 200 0.0.0.0 0.0.0.0
static (DMZ,WAN) 88.XXX.XXX.51 10.10.10.30 netmask 255.255.255.255
access-group 101 in interface WAN
route WAN 0.0.0.0 0.0.0.0 88.XXX.XXX.49 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 LAN
http 10.30.30.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
!
service-policy global_policy global
Cryptochecksum:935c8b55811efc32aa5148067c65bb0f
NELLA CONFIGURAZIONE DELL'asa MANCA L'ULTIMA STRINGA INSERITA SULL'ICMP SOLO PERCHE' L'HO COPIATA PRIMA DI INSERIRLA.
Grazie di tutto
In ogni caso ti riposto la configurazione dell'ASA e del router così dai un'occhiata anche al problema dell'ASDM.
ROUTER CISCO 870
Current configuration : 4505 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 52000
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2559140674
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2559140674
revocation-check none
rsakeypair TP-self-signed-2559140674
!
!
crypto pki certificate chain TP-self-signed-2559140674
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32353539 31343036 3734301E 170D3032 30333031 30303037
30335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 35353931
34303637 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100ABE2 6FDD933E 9D8F86E2 3B858E80 D7DF9EDD 74FC231E 2B63C0F9 881FCD43
9A74ACB6 EB20D9F9 F4C92D8D 828EF81A 648742A8 8A77B7DB A6495C1B 242D1DC1
19990F25 CF0F06F6 AFC40253 B1A88295 49B7287E 458AD0E8 E0371581 972EE89F
795391EA 5A2E16A3 7DC386EB 5150954F 0773A3A3 FDC2F8DB E195CF9A BC5B57C2
69E10203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
301F0603 551D2304 18301680 149FAB9B 7EE72F46 51F85154 F572D998 D0765DF4
A8301D06 03551D0E 04160414 9FAB9B7E E72F4651 F85154F5 72D998D0 765DF4A8
300D0609 2A864886 F70D0101 04050003 81810091 5056D647 2B893B2E 8FDC7CAA
205D9AAC 5CAA7DFB 66E77B6C 28CC2695 F61E808F 92285FED D27B0F3C E123A5E8
0C6175DE EA3FE96D 34A083D1 46470B50 F76966EE DDC545D8 8E236C3E 82823612
441FB6AA E6A578D8 4631EA67 290F8DF9 18667149 A1BD43D8 2BB254E0 709C5A55
A5CEFE86 6A38B63C 50995A38 28A21CD0 7C3AAF
quit
dot11 syslog
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip domain name yourdomain.com
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
!
!
username devivosrl privilege 15 secret 5 $1$/GRC$vPN7J56aUZftwoC3Vers.1
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.xxx.xxx.42 255.255.255.252
ip nat outside
ip virtual-reassembly
pvc 8/35
oam-pvc manage
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 88.xxx.xxx.49 255.255.255.248
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 88.xx.xxx.41 permanent
ip route 88.xxx.xxx.40 255.255.255.252 88.xxx.xxx.41 permanent
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip access-list extended Inbound
remark SDM_ACL Category=1
permit ip host 88.xxx.xxx.51 host 10.10.10.2
ip access-list extended Outbound
remark SDM_ACL Category=1
permit ip host 10.10.10.2 host 88.xxx.xxx.51
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 88.xxx.xxx.48 0.0.0.7
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 10.10.10.1
no cdp run
!
!
!
control-plane
!
banner login ^C
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device.
This feature requires the one-time use of the username "cisco"
with the password "cisco". The default username and password have a privilege level of 15.
Please change these publicly known initial credentials using SDM or the IOS CLI.
Here are the Cisco IOS commands.
username <myuser> privilege 15 secret 0 <mypassword>
no username cisco
Replace <myuser> and <mypassword> with the username and password you want to use.
For more information about SDM please follow the instructions in the QUICK START
GUIDE for your router or go to http://www.cisco.com/go/sdm
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
ASA 5510
ASA Version 7.0(7)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 6Lgd85RgpRgrUvG9 encrypted
names
dns-guard
!
interface Ethernet0/0
nameif WAN
security-level 0
ip address 88.XXX.XXX.50 255.255.255.248
!
interface Ethernet0/1
nameif LAN
security-level 100
ip address 192.168.1.111 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 10.10.10.2 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 10.30.30.10 255.255.255.0
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 101 extended permit tcp any host 88.XXX.XXX.51 eq smtp
access-list 101 extended permit tcp any host 88.XXX.XXX.51 eq www
access-list 101 extended permit tcp any host 88.XXX.XXX.51 eq pop3
pager lines 24
logging asdm informational
mtu WAN 1500
mtu LAN 1500
mtu DMZ 1500
mtu management 1500
asdm image disk0:/asdm-507.bin
asdm location 10.10.10.30 255.255.255.255 DMZ
no asdm history enable
arp timeout 14400
global (WAN) 200 interface
nat (LAN) 200 0.0.0.0 0.0.0.0
static (DMZ,WAN) 88.XXX.XXX.51 10.10.10.30 netmask 255.255.255.255
access-group 101 in interface WAN
route WAN 0.0.0.0 0.0.0.0 88.XXX.XXX.49 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 LAN
http 10.30.30.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
!
service-policy global_policy global
Cryptochecksum:935c8b55811efc32aa5148067c65bb0f
NELLA CONFIGURAZIONE DELL'asa MANCA L'ULTIMA STRINGA INSERITA SULL'ICMP SOLO PERCHE' L'HO COPIATA PRIMA DI INSERIRLA.
Grazie di tutto
