TFTP via VPN su ASA5505.

Lybra · mar 23 dic , 2008 11:31 am

Ciao a tutti, sto facendo un porting di alcune conf dei PIX501 su degli ASA5505; tutto bene se non che il TFTP via VPN non funziona.

Originariamente avevo il medesimo problema con i 501, ma avevo risolto con il management access inside e buttando la stringa del tftp sulla inside; la stessa cosa sul 5505 non funziona; facendo il write net sulla inside, dopo un lasso di tempo mi va in timeout perché non trova l'host; sulla outside men che meno visto che l'host lì mai lo troverà.

Qualcuno ha idee su come farlo funzionare?

Grazie.

Wizard · mar 23 dic , 2008 6:51 pm

Tu vuoi salvare la conf del firewall su una macchina remota?
La pinghi?

Lybra · mer 24 dic , 2008 11:34 am

Wizard ha scritto:Tu vuoi salvare la conf del firewall su una macchina remota?
La pinghi?

Si esatto.
No, dalla console del firewall non pingo quell'ip perché me lo butta sulla outside invece che sulla vpn, però se attacco il laptop alla lan del fw quell'ip lo pingo.

Wizard · dom 28 dic , 2008 6:53 pm

Mhm nn vedo grosse contro indicazione tranne il fatto che cerchi di salvare la conf verso una macchina che x il firewall ha security-level basso (outside) ma dovrebbe essere sl un warning...

Controllo e domani ti dico

Lybra · dom 28 dic , 2008 8:08 pm

Wizard ha scritto:Mhm nn vedo grosse contro indicazione tranne il fatto che cerchi di salvare la conf verso una macchina che x il firewall ha security-level basso (outside) ma dovrebbe essere sl un warning...

Controllo e domani ti dico

Grazie mille, fammi sapere se puoi.

Wizard · lun 29 dic , 2008 12:33 pm

Prova a rimettere il comando invece che con "outside" con "inside"

Lybra · mar 13 gen , 2009 11:35 am

Wizard ha scritto:Prova a rimettere il comando invece che con "outside" con "inside"

Non va, timeout e manco lo pingo da console, da laptop dietro fw si invece... metto qui la conf dell'asa, se hai tempo dagli occhio cortesemente, magari ci vedi l'errore... grazie mille Wizard:

Codice: Seleziona tutto

: Saved
: Written by enable_15 at 02:40:24.544 UTC Tue Jan 13 2009
!
ASA Version 7.2(4) 
!
hostname ASA5505-xxxxxxxx
enable password --- encrypted
passwd --- encrypted
names
!
interface Vlan1
 no nameif
 no security-level
 no ip address
!
interface Vlan10
 nameif outside
 security-level 0
 ip address xx.xx.xx.xx 255.255.255.248 
!
interface Vlan20
 nameif inside
 security-level 100
 ip address xx.xx.xx.xx 255.255.255.0 
!
interface Ethernet0/0
 switchport access vlan 10
!
interface Ethernet0/1
 switchport access vlan 20
!
interface Ethernet0/2
 switchport access vlan 20
!
interface Ethernet0/3
 switchport access vlan 20
!
interface Ethernet0/4
 switchport access vlan 20
!
interface Ethernet0/5
 switchport access vlan 20
!
interface Ethernet0/6
 switchport access vlan 20
!
interface Ethernet0/7
 switchport access vlan 20
!
ftp mode passive
object-group service SAP tcp
 port-object range xxxx xxxx
 port-object eq xxxx
object-group network POSTA
 network-object xx.xx.xx.xx 255.255.255.255
 network-object xx.xx.xx.xx 255.255.255.255
object-group network TERSRV
 network-object xx.xx.xx.xx 255.255.255.255
access-list 100 extended permit ip yy.yy.yy.yy 255.255.255.0 zz.zz.zz.zz 255.255.254.0 
access-list 100 extended permit ip yy.yy.yy.yy 255.255.255.0 zz.yy.zz.zz 255.255.0.0 
access-list 110 extended permit ip yy.yy.yy.yy 255.255.255.0 zz.zz.zz.zz 255.255.254.0 
access-list 110 extended permit ip yy.yy.yy.yy 255.255.255.0 zz.yy.zz.zz 255.255.0.0 
access-list CAS extended permit ip yy.yy.yy.yy 255.255.255.0 zz.zz.zz.zz 255.255.254.0 
access-list CAS extended permit ip yy.yy.yy.yy 255.255.255.0 zz.yy.zz.zz 255.255.0.0 
access-list SAPCAS extended permit tcp yy.yy.yy.yy 255.255.255.0 zz.zz.zz.zz 255.255.254.0 object-group SAP 
access-list HTTPCAS extended permit tcp yy.yy.yy.yy 255.255.255.0 zz.zz.zz.zz 255.255.254.0 eq www 
access-list POSTACAS extended permit tcp object-group POSTA yy.yy.yy.yy 255.255.255.0 
access-list TERSRVCAS extended permit tcp object-group TERSRV yy.yy.yy.yy 255.255.255.0 
access-list inside extended permit ip yy.yy.yy.yy 255.255.255.0 zz.zz.zz.zz 255.255.254.0 
access-list inside extended permit tcp yy.yy.yy.yy 255.255.255.0 zz.yy.zz.zz 255.255.0.0 
access-list inside extended permit icmp any any 
access-list inside extended permit tcp host xx.xx.xx.xx any eq www 
access-list inside extended permit tcp host xx.xx.xx.xx any eq https 
access-list inside extended permit tcp host xx.xx.xx.xx any eq 8446 
access-list inside extended deny ip any any 
access-list outside extended permit icmp any any 
access-list outside extended deny ip any any 
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 100
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-3des esp-none 
crypto map outside_map 1 match address 110
crypto map outside_map 1 set peer xx.xx.xx.xx 
crypto map outside_map 1 set transform-set myset
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 1
 lifetime 86400
crypto isakmp policy 65535
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp am-disable
telnet yy.yy.yy.yy 255.255.255.0 inside
telnet zz.zz.zz.zz 255.255.0.0 inside
telnet timeout 5
ssh xx.xx.xx.xx 255.255.255.224 outside
ssh timeout 15
console timeout 0
management-access inside

tftp-server inside yy.yy.yy.yy conf.cfg
tunnel-group xx.xx.xx.xx type ipsec-l2l
tunnel-group xx.xx.xx.xx ipsec-attributes
 pre-shared-key XXXXXXXXXXXXXXXXXXXXXXXX
!
class-map LIMITSAPCAS
 description SAP LIMIT TO HQ
 match access-list SAPCAS
class-map LIMITVPNCAS
 description Limite VPN TO HQ
 match access-list CAS
class-map LIMITTERSRVCAS
 description TERSRV LIMIT TO HQ
 match access-list TERSRVCAS
class-map LIMITHTTPCAS
 description HTTP LIMIT TO HQ
 match access-list HTTPCAS
class-map LIMITPOSTACAS
 description POSTA LIMIT TO HQ
 match access-list POSTACAS
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map LIMITIBANDE
 description SPECIFICHE LIMITI BANDE
 class LIMITVPNCAS
  police output 1000000
  police input 1000000
 class LIMITSAPCAS
  police output 60000
  police input 60000
 class LIMITHTTPCAS
  police output 240000
  police input 240000
 class LIMITPOSTACAS
  police output 250000
  police input 250000
 class LIMITTERSRVCAS
  police output 150000
  police input 150000
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:d56c1de13055017040a59bc0c31c5c0b
: end

Lybra · mar 13 gen , 2009 4:22 pm

Come non detto... da che ho inserito le velocità e riorganizzato le acl per priorità é andato apposto, mi sa che era lì il problema.

Salutoni.
Lybra

Wizard · mer 14 gen , 2009 4:14 pm

Mhm... in teoria le acl nn filtrano il traffico vpn...
Cmq se va ottimo!

TFTP via VPN su ASA5505.

Login • Iscriviti