ASA 5515 - Errore configurazione

Mettete al sicuro la vostra rete!

Moderators: Federico.Lagni, TheIrish, Wizard, andrewp

ASA 5515 - Errore configurazione

Postby AlessandroG » Mon 18 Aug , 2014 8:12 am

Ciao a tutti,

sto cercando di cambiare il firewall azienda da un Zywall USG100 ad un ASA 5515, la configurazione sembra funzionare bene tranne per una cosa che non riesco proprio a capire . Il problema che con il vecchio firewall questo problema non si verificava , mentre con il nuovo non riesco a farlo funzionare anche se ho trovato un work-around per risolvere il problema .
Il problema è che vorrei capire dove ho sbagliato e se qualcuno mi può dare qualche consiglio.

Descrizione rete

1° lan1 10.10.0.0 /24 gw 10.10.0.251
2° lan2 10.20.0.0/24 gw 10.20.0.251
3° dmz 172.16.0.0/24

Server nome PIPPO (con il problema )

scheda rete lan1 10.10.0.100
scheda rete dmz 172.16.0.0

sia la lan1 che lan2 risolvono il server PIPPO con l'indirizzo 10.10.0.100

Il problema è questo

se chiamo il server PIPPO ad un computer della lan1 non c'e nessun problema , se invece chiama il server PIPPO dalla lan2 non riesco ad accedere tranne (work-around) se nel server gli insierisco una route statica nella quale gli specifico che per la rete 10.10.0.0 il gateway è 10.20.0.251

Altre info:
all' interno dell' asa sia lan1 che lan2 hanno valore (100) , è abilitata l'opzione che due rete con stesso valore posso parlare

Perché devo inserire la route statica che prima non dovevo inserire ???

Grazie a tutti

P.s Se servono altre info chiedete pure
AlessandroG
n00b
 
Posts: 11
Joined: Sun 22 Sep , 2013 9:42 am

Re: ASA 5515 - Errore configurazione

Postby paolomat75 » Mon 18 Aug , 2014 8:32 am

Ciao, preciso che non sono bravo con gli ASA, ma da come descrivi il problema sembrerebbe il server configurato male (visto che il gateway che metti è quello di default).
Prova a sniffare il traffico.

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2892
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: ASA 5515 - Errore configurazione

Postby AlessandroG » Tue 19 Aug , 2014 7:54 am

Aggiungo un'informazione che mi sono dimenticato, il server ha due schede come detto in precedenza

scheda rete lan1 10.10.0.100
scheda rete dmz 172.16.0.0

il gw del server è 172.16.0.254 (gw della DMZ)


Ciao Alessandro
AlessandroG
n00b
 
Posts: 11
Joined: Sun 22 Sep , 2013 9:42 am

Re: ASA 5515 - Errore configurazione

Postby paolomat75 » Tue 19 Aug , 2014 8:49 am

AlessandroG wrote:Aggiungo un'informazione che mi sono dimenticato, il server ha due schede come detto in precedenza

scheda rete lan1 10.10.0.100
scheda rete dmz 172.16.0.0

il gw del server è 172.16.0.254 (gw della DMZ)


Ciao Alessandro

Allora è giusto che non vada se non aggiungi una statica, il level DMZ è sicuramente più basso di quello lan2, perciò il traffico è bloccato. Se proprio devi far parlare le due reti o lasci la route statica, visto che hai le 2 schede, oppure bisogna fare un'eccezione nel ASA (nel caso vuoi solo accedere ad alcuni servizi della lan1).

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2892
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: ASA 5515 - Errore configurazione

Postby AlessandroG » Tue 19 Aug , 2014 9:34 am

Ciao Paolo , prima di tutto grazia per il tuo aiuto ma c'è qualcosa che non riesco a capire

Allora è giusto che non vada se non aggiungi una statica, il level DMZ è sicuramente più basso di quello lan2, perciò il traffico è bloccato. Se proprio devi far parlare le due reti o lasci la route statica, visto che hai le 2 schede, oppure bisogna fare un'eccezione nel ASA (nel caso vuoi solo accedere ad alcuni servizi della lan1).


sono pienamente d'accordo con quello che hai scritto però per la mia ignoranza non mi torna un cosa , vediamo se riesci ad aiutarmi.

Configurazione ASA

1° lan1 10.10.0.0 /24 gw 10.10.0.251 100
2° lan2 10.20.0.0/24 gw 10.20.0.251 100
3° dmz 172.16.0.0/24 gw 172.16.0.251 50


Configurazione Server
lan1 10.10.0.100
dms 172.16.0.100 gw 172.16.0.251


Se da un cliente esempio 10.10.0.1 chiamo il server 10.10.0.100 , riesco a raggiungerlo perché in poche parole tutto il mio traffico viene effettuato sulla LAN1 . Quindi la DMZ in questo momento non entra in gioco (almeno credo) e quindi non ho bisogno di regole di route o di altro

Se da un cliente esempio 10.20.0.1 chiamo il server 10.10.0.100 , non riesco a raggiungere il server . In questa situazione le uniche lan che entrano in gioco sono la LAN1 e LAN2 che hanno lo stesso valore 100 e SEMPRE per la mia ignoranza anche in questo caso non entra in gioco la DMZ e aggiungo che a livello di ASA ci sono le regole di route per passare da LAN1 a LAN2


Dove sbaglio ??????


Grazie ancora Alessandro
AlessandroG
n00b
 
Posts: 11
Joined: Sun 22 Sep , 2013 9:42 am

Re: ASA 5515 - Errore configurazione

Postby paolomat75 » Tue 19 Aug , 2014 10:40 am

AlessandroG wrote:
Se da un cliente esempio 10.20.0.1 chiamo il server 10.10.0.100 , non riesco a raggiungere il server . In questa situazione le uniche lan che entrano in gioco sono la LAN1 e LAN2 che hanno lo stesso valore 100 e SEMPRE per la mia ignoranza anche in questo caso non entra in gioco la DMZ e aggiungo che a livello di ASA ci sono le regole di route per passare da LAN1 a LAN2

Dove sbaglio ??????

Grazie ancora Alessandro


Se dal 10.20.0.1 chiami il 10.10.0.100 entra in gioco la DMZ perché il server ha come gateway il 172.16.0.251 50, e visto che la rete 10.20.1.x non è presente nella tabella di routing (a parte quando metti la statica), il server manda sul gateway.
In quel caso l'ASA blocca il transito perché il traffico è da livello più basso ad alto (a parte autorizzare quel tipo di traffico).

Spero di averti chiarito le idee

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2892
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: ASA 5515 - Errore configurazione

Postby paolomat75 » Thu 28 Aug , 2014 9:53 am

Hai risolto?

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2892
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE


Return to Sicurezza

Who is online

Users browsing this forum: No registered users and 1 guest