ASA 5505, problema con routing di 3 Vlan

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
maro
Cisco fan
Messaggi: 40
Iscritto il: mer 05 apr , 2006 6:49 pm
Località: Milano
Contatta:

Ciao a tutti,

sono alle prese con un ASA 5505 basic licence su cui devo gestire 3 vlan (inside, outside e una di management). Il caso mi sembra mooolto simile a quello di questo topic http://www.ciscoforums.it/viewtopic.php?t=9779 , ho cercato di prenderci sputo ma non ci riesco.. la mia rete 192.168.1.0 non pinga (e ovviamente non accede..) alla rete 192.168.70.0

credo di non aver ben capito la differenza fra same-security-traffic permit inter-interface e same-security-traffic permit intra-interface ....
Se qualcuno potesse dare una dritta vi sarei grato. (l'ip pubblico è sostituito con A.B.C.D)

grazie,

Mauro





:
ASA Version 7.2(4)
!
hostname xxxxxxxx
domain-name xxxxxxxxx.it
enable password zWCVHDH7piA8ISOo encrypted
passwd rMLtQja1V48EG12m encrypted
names
name 192.168.1.100 xxxxx001
!
interface Vlan1
description LAN - porte 1,2,3
nameif inside
security-level 100
ip address 192.168.1.254 255.255.255.0
!
interface Vlan2
description Interfaccia Wan - Porta 0
nameif outside
security-level 0
ip address A.B.C.D 255.255.255.224
!
interface Vlan3
description Management - porte 4,5,6,7
no forward interface Vlan2
nameif Management
security-level 100
ip address 192.168.70.254 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 3
!
interface Ethernet0/5
switchport access vlan 3
!
interface Ethernet0/6
switchport access vlan 3
!
interface Ethernet0/7
switchport access vlan 3
!
banner login Cisco ASA System.
ftp mode passive
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name xxxxxxxxxxx.it
same-security-traffic permit inter-interface
object-group network xxxxxxxxx
description Rete xxxxx
network-object host A.B.C.D
network-object host A.B.C.E
network-object host A.B.C.F
access-list OUTSIDE remark Antispam Traffic
access-list OUTSIDE extended permit tcp any host A.B.C.D eq smtp
access-list OUTSIDE remark McAfee
access-list OUTSIDE extended permit tcp any host A.B.C.D eq www
access-list OUTSIDE extended permit tcp any host A.B.C.D range 8443 8445
access-list OUTSIDE extended permit tcp any host A.B.C.D range 8081 8082
access-list OUTSIDE remark Controllo Remoto
access-list OUTSIDE extended permit tcp object-group xxxx interface outside eq 3389
access-list OUTSIDE remark SQL da rete xxxxx
access-list OUTSIDE extended permit tcp object-group xxxxx interface outside eq 1433
access-list OUTSIDE extended permit icmp any any echo-reply
access-list INSIDE extended permit ip any any
access-list inside_to_management extended permit ip 192.168.1.0 255.255.255.0 192.168.70.0 255.255.255.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu Management 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_to_management
nat (inside) 1 192.168.1.0 255.255.255.0
static (inside,outside) interface xxxx001 netmask 255.255.255.255
access-group INSIDE in interface inside
access-group OUTSIDE in interface outside
route outside 0.0.0.0 0.0.0.0 A.B.C.K 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 15
ssh timeout 5
console timeout 10
dhcpd auto_config outside
!
dhcpd address 192.168.1.1-192.168.1.10 inside
dhcpd dns 151.99.125.2 151.99.125.3 interface inside
dhcpd lease 7200 interface inside
dhcpd domain xxxxxxxxxxx.it interface inside
dhcpd option 3 ip 192.168.1.254 interface inside
dhcpd enable inside
!

ntp server 193.204.114.232
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d803a387087606814ba773bfdf1e2abf
: end



[/i]
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Ciao,

credo che il tuo problema risieda nella licenza base dell'ASA 5505, che ha delle limitazioni nel routing tra 3 vlan.

Andrea.
maro
Cisco fan
Messaggi: 40
Iscritto il: mer 05 apr , 2006 6:49 pm
Località: Milano
Contatta:

ciao,

per intanto grazie mille per la risposta. Credevo che la limitazione della licenza base fosse che la terza Vlan definita deve essere per forza "castrata" nella comunicazione verso una delle altre due.

quindi con "no forward interface Vlan2" credevo di essere a posto (tanto non mi interessa che la rete di management vada verso la outside)

oggi provo con un 5505 nuovo, con licenza full.. poi vediamo.
maro
Cisco fan
Messaggi: 40
Iscritto il: mer 05 apr , 2006 6:49 pm
Località: Milano
Contatta:

orbene... ho upgradato l'apparato alla versione 8.3 di IOS e ho upgradato la licenza da Base a Sec Plus. Adesso da uno Sh ver

Licensed features for this platform:
Maximum Physical Interfaces : 8
VLANs : 20, DMZ Unrestricted
Inside Hosts : 10
Failover : Active/Standby
VPN-DES : Enabled
VPN-3DES-AES : Enabled
VPN Peers : 25
WebVPN Peers : 2
Dual ISPs : Enabled
VLAN Trunk Ports : 8
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled

This platform has an ASA 5505 Security Plus license.





la cosa maledettamente ridicola è che ho semplicemente ridefinito al Interface Vlan 3 togliendo il no forward

interface Vlan3
description Management - porte 4,5,6,7
nameif Management
security-level 100
ip address 192.168.70.254 255.255.255.0



ma ancora non funziona. la rete 192.168.1.0 non pinga e non arriva alla 192.168.70.0


idee ???? :(
maro
Cisco fan
Messaggi: 40
Iscritto il: mer 05 apr , 2006 6:49 pm
Località: Milano
Contatta:


RISOLTO !



il problema non stava nella limitazione di licenza, ma bensì nel fatto che avevo dimenticato la regola per la route di ritorno, dalla 192.168.70 alla 192.168.1.0.

in pratica le righe mancanti alla config erano le seguenti :

access-list management_to_inside extended permit ip 192.168.70.0 255.255.255.0 192.168.1.0 255.255.255.0

nat (Management) 0 access-list management_to_inside
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Ci si dimentica spesso della parte di nat...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Rispondi