CiscoForums.it

Ciao a tutti sono disperato!
Da giorni ormai combatto con la configurazione di un asa 5505 con WAN, LAN e DMZ. Ho tre ip pubblici routati sulla int_ext del firewall. Ho fatto delle
mappature che mi permettono di accedere ai tre server che ho! Uno nella LAN e due in DMZ. Dall'interfaccia ext (WAN) riesco ad accedere ai server senza problemi!
Il mio problema però sorge quanto tento di accedere ai server in DMZ dalla LAN niente da fare! Qualcuno ha qualche consiglio?

qualsiasi consiglio sarebbe molto apprezzato

che versione di licenza hai del firewall?

la base con DMZ restricted!
devo uploadare alla security plus necessariamente?

With the Base platform, communication between the DMZ VLAN and the Inside VLAN is restricted: the Inside VLAN is permitted to send traffic to the DMZ VLAN, but the DMZ VLAN is not permitted to send traffic to the Inside VLAN.

The Security Plus license removes this limitation, thus enabling a full DMZ configuration.

Quindi le tue conclusioni ...

grazie mille

alessandro.bresciani ha scritto:Ciao a tutti sono disperato!
Il mio problema però sorge quanto tento di accedere ai server in DMZ dalla LAN niente da fare! Qualcuno ha qualche consiglio?

Dalla LAN alla DMZ accedi senza problemi.
Dalla DMZ non puoi accedere alla LAN.
E' questo il limite della licenza che hai! Mi è capitato di fare un dmz-restriceted proprio qualche giorno fà...

Ciao!
Perdonami il ritardo nella risposta!
Ma mi dai una bella notizia, per lo meno non devo fare un upgrade di licenza.
Sei proprio sicuro? Io le ho provate tutte ma non riesco proprio ad accedere
dalla LAN ai server in DMZ. Ho seguito passo passo il manuale (Quick Start) non avendo grande esperienza su questa apparati. Ma niente da fare non riesco a stabilire sessioni LAN>DMZ, neanche riesco a pingare gli host che stanno in DMZ.

alessandro.bresciani ha scritto:Ciao!
Perdonami il ritardo nella risposta!
Ma mi dai una bella notizia, per lo meno non devo fare un upgrade di licenza.
Sei proprio sicuro? Io le ho provate tutte ma non riesco proprio ad accedere
dalla LAN ai server in DMZ. Ho seguito passo passo il manuale (Quick Start) non avendo grande esperienza su questa apparati. Ma niente da fare non riesco a stabilire sessioni LAN>DMZ, neanche riesco a pingare gli host che stanno in DMZ.

Ti copio la configurazione che attualmente gira su quel asa ( e funziona )
Spero ti possa andare bene. bb

interface Vlan1
nameif inside-uff
security-level 100
ip address 192.168.0.200 255.255.255.0
!
interface Vlan2
no forward interface Vlan1
nameif inside-lab-dmz
security-level 50
ip address 10.0.0.254 255.255.255.0
!
interface Vlan3
nameif outside
security-level 0
ip address 10.1.0.200 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
switchport access vlan 3
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
ftp mode passive
access-list static-out extended permit tcp x 255.255.255.0 any eq 2222
access-list static-out extended permit icmp any any
access-list static-out extended permit tcp x 255.255.255.0 any eq 8002
access-list static-out extended permit tcp x 255.255.255.0 any eq 3389
access-list static-out extended permit tcp x 255.255.255.0 any eq 8002
access-list static-out extended permit tcp x 255.255.255.0 any eq ftp
access-list static-out extended permit tcp x 255.255.255.0 any eq ftp-data
access-list static-out extended permit tcp x 255.255.255.0 any eq ftp-data
access-list static-out extended permit tcp x 255.255.255.0 any eq ftp
pager lines 24
mtu inside-uff 1500
mtu inside-lab-dmz 1500
mtu outside 1500
ip verify reverse-path interface inside-uff
ip verify reverse-path interface inside-lab-dmz
ip verify reverse-path interface outside
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-621.bin
no asdm history enable
arp timeout 14400
global (inside-lab-dmz) 1 interface
global (outside) 1 interface
nat (inside-uff) 1 192.168.0.0 255.255.255.0
nat (inside-lab-dmz) 1 10.0.0.0 255.255.255.0
static (inside-lab-dmz,outside) tcp interface 2222 10.0.0.1 ssh netmask 255.255.255.255
static (inside-lab-dmz,outside) tcp interface 8002 10.0.0.210 8002 netmask 255.255.255.255
static (inside-uff,outside) tcp interface 3389 192.168.0.100 3389 netmask 255.255.255.255
static (inside-lab-dmz,outside) tcp interface ftp 10.0.0.210 ftp netmask 255.255.255.255
static (inside-lab-dmz,outside) tcp interface ftp-data 10.0.0.210 ftp-data netmask 255.255.255.255
access-group static-out in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.0.250 1

Ciao e grazie ancora!
Ho risolto il problema con il tuo aiuto
posto la mia conf e ti dico cosa ho cambiato!

interface Vlan1
nameif inside
security-level 100
ip address 192.168.5.65 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 84.200.156.86 255.255.255.248
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 50
ip address 10.0.0.99 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 3
!
interface Ethernet0/3
switchport access vlan 3
!
interface Ethernet0/4
switchport access vlan 3
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name legapesca.it
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list acl_icmp extended permit icmp any any
access-list acl_icmp extended permit tcp any host 84.200.156.82 eq www
access-list acl_icmp extended permit tcp any host 84.200.156.85 eq www
access-list acl_icmp extended permit tcp any host 84.200.156.83 eq www
access-list acl_icmp extended permit tcp any host 84.200.156.85 eq smtp
access-list acl_icmp extended permit tcp any host 84.200.156.85 eq pop3
access-list acl_icmp extended permit tcp any host 84.200.156.83 eq ftp
access-list acl_icmp extended permit tcp any host 84.200.156.83 eq ssh
access-list acl_icmp extended permit tcp any host 84.200.156.82 eq pcanywhere-data
access-list dmz_access_in extended permit icmp any host 10.0.0.56
access-list dmz_access_in extended permit tcp any host 10.0.0.56 eq www
access-list dmz_access_in extended permit icmp any host 10.0.0.100
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
ip local pool RemoteClientPool 192.168.5.10-192.168.5.20 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 192.168.5.0 255.255.255.0
nat (dmz) 1 10.0.0.0 255.255.255.0
static (inside,outside) tcp 84.200.156.85 www 192.168.5.254 www netmask 255.255.255.255
static (inside,outside) tcp 84.200.156.85 smtp 192.168.5.254 smtp netmask 255.255.255.255
static (inside,outside) tcp 84.200.156.85 pop3 192.168.5.254 pop3 netmask 255.255.255.255
static (dmz,outside) tcp 84.200.156.82 www 10.0.0.100 www netmask 255.255.255.255
static (dmz,outside) tcp 84.200.156.83 www 10.0.0.56 www netmask 255.255.255.255
static (dmz,outside) tcp 84.200.156.83 ssh 10.0.0.56 ssh netmask 255.255.255.255
static (dmz,outside) tcp 84.200.156.83 ftp 10.0.0.56 ftp netmask 255.255.255.255
static (dmz,outside) tcp 84.200.156.82 pcanywhere-data 10.0.0.100 pcanywhere-data netmask 255.255.255.255
static (inside,inside) 192.168.5.254 84.200.156.85 netmask 255.255.255.255
access-group acl_icmp in interface outside
access-group dmz_access_in in interface dmz
route outside 0.0.0.0 0.0.0.0 84.200.156.81 1


Ho risolto aggiungendo una zona globale (global (dmz) 1 interface), e modificando le regole di nat (nat (inside) 1 192.168.5.0 255.255.255.0
nat (dmz) 1 10.0.0.0 255.255.255.0) che prima erano entrambe (0.0.0.0 0.0.0.0). Tutto ciò un po' meccanicamente non capendo molto bene cosa è cambiato e perchè prima non funzionava?
Altro dubbio riguarda le regole di accesso LAN>DMZ: ho fatto una prova con nmap e mi pare tutto aperto!
Potresti spiegarmi?
Ciao e grazie ancora per l'aiuto e la disponibilità!