Pagina 1 di 2
ASA5505 Port forward non va... configurazione semplice
Inviato: dom 16 dic , 2007 10:21 am
da scmatteo
salve,
Io ho un setup veramente semplice:
1 inside interface
1 outside interface
1 NAT per 1 indirizzo (FTP & WEB)
No DMZ.
Le mie Info:
PUBLIC IP: 79.5.250.xxx
Gateway/router Internal IP: 192.168.0.1
Internal interface IP: 192.168.1.x
WEB & FTP Server IP pubblico: 79.5.250.xxx (NAT verso ip interno del server 192.168.1.90)
dove sbaglio?!?
grazie
Codice: Seleziona tutto
ASA Version 7.2(3)
!
hostname ciscoasa
domain-name test.xx
enable password xxxxxxxxxxxxxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name test.xx
object-group service OutToIn tcp
port-object eq ftp
port-object eq www
access-list Out_to_In extended permit tcp any host 192.168.1.90 object-group Out
ToIn
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0
static (outside,inside) 192.168.1.90 79.5.250.xxx netmask 255.255.255.255
access-group Out_to_In in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd enable inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:473606b26b2f99fea6d61aee4cfeec71
: end
ciscoasa#
Inviato: dom 16 dic , 2007 11:19 am
da orion
Scusa non è chiaro il problema che hai. Cosa non funziona nella tua rete?
Inviato: dom 16 dic , 2007 12:30 pm
da scmatteo
se dall'esterno tento di digitare l'indirizzo che dovrebbe restituirmi le pagine della posta 80m non va...
in pratica il nat non funziona se provo ad accedere dall'esterno...
Inviato: dom 16 dic , 2007 12:41 pm
da orion
scmatteo ha scritto:se dall'esterno tento di digitare l'indirizzo che dovrebbe restituirmi le pagine della posta 80m non va...
in pratica il nat non funziona se provo ad accedere dall'esterno...
E' un tentativo, ma con me a funzionato, avevo il tuo stesso problema (con un router 1751V) non riuscivo ad accedere dall'esterno al server.
Inviato: dom 16 dic , 2007 1:56 pm
da scmatteo
grazie orion, però noto che le mtu sia di outside che di inside sono già impostate dalla sh run.....
ma nella configurazione non ho sbagliato niente giusto?
i nat sono corretti?
non sono molto esperto di queste cose...
può essere utile dirvi che ho un router... e che tutte le porte sono indirizzate all'ip del firewall ?
come è possibile che non vada... è 3 settimane che ci sono sopra...
Inviato: dom 16 dic , 2007 3:06 pm
da orion
scmatteo ha scritto:grazie orion, però noto che le mtu sia di outside che di inside sono già impostate dalla sh run.....
ma nella configurazione non ho sbagliato niente giusto?
i nat sono corretti?
non sono molto esperto di queste cose...
può essere utile dirvi che ho un router... e che tutte le porte sono indirizzate all'ip del firewall ?
come è possibile che non vada... è 3 settimane che ci sono sopra...
Scusa mi sono espresso male, dicevo di rimuoverle!
Inviato: dom 16 dic , 2007 4:46 pm
da scmatteo
ciao orion..
digitando no mtu ecc...
non riesco a eliminare la riga di codice dalla config...
come faccio?
grazie
orion ha scritto:scmatteo ha scritto:grazie orion, però noto che le mtu sia di outside che di inside sono già impostate dalla sh run.....
ma nella configurazione non ho sbagliato niente giusto?
i nat sono corretti?
non sono molto esperto di queste cose...
può essere utile dirvi che ho un router... e che tutte le porte sono indirizzate all'ip del firewall ?
come è possibile che non vada... è 3 settimane che ci sono sopra...
Scusa mi sono espresso male, dicevo di rimuoverle!
Inviato: dom 16 dic , 2007 5:24 pm
da orion
Premessa non conosco la macchina, per router della serie 17XX basta andare nell'interfaccia interessata e cambiare o eliminare il valore.
Al posto di eliminarlo varia il valore dei due parametri.
Tramite il comando
dove aaa.bbb.ccc.ddd è un indirizzo IP esterno e MTUVAL è un valore numerico intero.
trova un valore adeguato, se ricevi il messaggio
Codice: Seleziona tutto
E' necessario frammentare il pacchetto ma DF è attivo.
bisogna ridurlo.
Il valore del mio MTU è 1472
saluti
Inviato: dom 16 dic , 2007 5:43 pm
da scmatteo
ciao orion..
nulla il comando non viene interpretato...
inolte se provo a pingare l'ip pubblico non ho risposta...
orion ha scritto:Premessa non conosco la macchina, per router della serie 17XX basta andare nell'interfaccia interessata e cambiare o eliminare il valore.
Al posto di eliminarlo varia il valore dei due parametri.
Tramite il comando
dove aaa.bbb.ccc.ddd è un indirizzo IP esterno e MTUVAL è un valore numerico intero.
trova un valore adeguato, se ricevi il messaggio
Codice: Seleziona tutto
E' necessario frammentare il pacchetto ma DF è attivo.
bisogna ridurlo.
Il valore del mio MTU è 1472
saluti
Inviato: dom 16 dic , 2007 6:06 pm
da orion
ma riesci a navigare?
La connessione funziona?
poi hai provato a pingare con un MTU ridotto?
se l'ASA ha un MTU da 1500 prova a pingare a 1400 per verificare se funziona.
Ti conviene comunque trovare il metodo per rimuovere o variare i valori di MTU.
saluti
Inviato: lun 17 dic , 2007 9:56 am
da scmatteo
ciao orion, rispondo ale tue domande:
-si riesco a navigare dalla rete interna
-la connessione quindi funziona
-ho provato a ridurre a 1400 i MTU sia di out che di in...
-ho riprovato a pingare il'ip publicco dal prompt dell'asa tramite hyperterminal.... ma nulla... se faccio un semplice ping il comando funziona ma non ho risposta da parte dell'ip, mentre se provo a pingare cn la riga di comando che mi hai dato il prompt mi resttuisce un'errore di errata riga di comando... non viene proprio eseguita..
- come variare i valori mtu l'ho trovato tramite ASADM, come rimuovere non ne ho idea... ma dici che possa essere questo mtu? a cosa serve?
Cavoo se è difficile configurare sto ASA...
orion ha scritto:ma riesci a navigare?
La connessione funziona?
poi hai provato a pingare con un MTU ridotto?
se l'ASA ha un MTU da 1500 prova a pingare a 1400 per verificare se funziona.
Ti conviene comunque trovare il metodo per rimuovere o variare i valori di MTU.
saluti
Inviato: lun 17 dic , 2007 6:06 pm
da orion
scmatteo ha scritto:ciao orion, rispondo ale tue domande:
-si riesco a navigare dalla rete interna
-la connessione quindi funziona
-ho provato a ridurre a 1400 i MTU sia di out che di in...
-ho riprovato a pingare il'ip publicco dal prompt dell'asa tramite hyperterminal.... ma nulla... se faccio un semplice ping il comando funziona ma non ho risposta da parte dell'ip, mentre se provo a pingare cn la riga di comando che mi hai dato il prompt mi resttuisce un'errore di errata riga di comando... non viene proprio eseguita..
- come variare i valori mtu l'ho trovato tramite ASADM, come rimuovere non ne ho idea... ma dici che possa essere questo mtu? a cosa serve?
Cavoo se è difficile configurare sto ASA...
orion ha scritto:ma riesci a navigare?
La connessione funziona?
poi hai provato a pingare con un MTU ridotto?
se l'ASA ha un MTU da 1500 prova a pingare a 1400 per verificare se funziona.
Ti conviene comunque trovare il metodo per rimuovere o variare i valori di MTU.
saluti
Un attimo!
Allora ma tu da un IP esterno alla tua rete riesci a pingare e a raggiungere la tua rete??
mi spiego meglio: vai da un pc che non appartiene alla tua rete (es. dall'ufficio) e prova a raggiungere uno dei servizi della tua rete (es. web server).
Il mio problema con l'MTU si manifestava quando tentavo di raggiungere il web server o se, tramite ssh, ricevevo troppi dati (es. un ls in una directory strapiena).
Se non hai questo tipo di problema non dovrebbe essere l'MTU.
Inoltre, il comando ping che ti ho dato è per windows .
Purtroppo non conosco l'ASA non ho altri consigli da darti!
L'MTU è la Maximum Transmission Unit . Ovvero la dimensione massima di un pacchetto che si può trasferire senza dover incorrere in suddivisione in più pacchetti di un dato.
Es. devi trasferire 3500 Byte se la tua MTU è 1500 è necessario frammettare i 3500Byte in 3 pacchetti.
una migliore spiegazione la trovi qui
http://it.wikipedia.org/wiki/Unit%C3%A0 ... asmissione
saluti
Inviato: mar 18 dic , 2007 11:02 am
da the wolf
ciao, visto che siamo in argomento di tentativi...
l'acl
access-list Out_to_In extended permit tcp any host 192.168.1.90 object-group OutToIn
è quella che dovrebbe permettere l'accesso agli esterni verso il server pe ri servizi http e ftp, giusto?
Se è così mi sa che ci va l'ip pubblico del server
Inviato: gio 20 dic , 2007 4:24 pm
da scmatteo
Ciao wolf,
si esatto...
ora provo
the wolf ha scritto:ciao, visto che siamo in argomento di tentativi...
l'acl
access-list Out_to_In extended permit tcp any host 192.168.1.90 object-group OutToIn
è quella che dovrebbe permettere l'accesso agli esterni verso il server pe ri servizi http e ftp, giusto?
Se è così mi sa che ci va l'ip pubblico del server
Inviato: gio 20 dic , 2007 9:13 pm
da scmatteo
Ciao orion,
effettivamente se pingo da rete eterna il mio ip si mi risponde... ma se provo a fare un ping con MTU a 1500 non c'è risposta...
ho testato al decimo e il mio valore MTU sarebbe di 1462, così non perdo valori...
domani imposto nel firewall questo mtu... ma solo per outside? o anche per l'interfaccia inside?
inoltre ho impostato l'access list come da istruzioni di wolf...
vediamo che succede...
orion ha scritto:ma riesci a navigare?
La connessione funziona?
poi hai provato a pingare con un MTU ridotto?
se l'ASA ha un MTU da 1500 prova a pingare a 1400 per verificare se funziona.
Ti conviene comunque trovare il metodo per rimuovere o variare i valori di MTU.
saluti