Pagina 1 di 1

ASA 5515 - Errore configurazione

Inviato: lun 18 ago , 2014 8:12 am
da AlessandroG
Ciao a tutti,

sto cercando di cambiare il firewall azienda da un Zywall USG100 ad un ASA 5515, la configurazione sembra funzionare bene tranne per una cosa che non riesco proprio a capire . Il problema che con il vecchio firewall questo problema non si verificava , mentre con il nuovo non riesco a farlo funzionare anche se ho trovato un work-around per risolvere il problema .
Il problema è che vorrei capire dove ho sbagliato e se qualcuno mi può dare qualche consiglio.

Descrizione rete

1° lan1 10.10.0.0 /24 gw 10.10.0.251
2° lan2 10.20.0.0/24 gw 10.20.0.251
3° dmz 172.16.0.0/24

Server nome PIPPO (con il problema )

scheda rete lan1 10.10.0.100
scheda rete dmz 172.16.0.0

sia la lan1 che lan2 risolvono il server PIPPO con l'indirizzo 10.10.0.100

Il problema è questo

se chiamo il server PIPPO ad un computer della lan1 non c'e nessun problema , se invece chiama il server PIPPO dalla lan2 non riesco ad accedere tranne (work-around) se nel server gli insierisco una route statica nella quale gli specifico che per la rete 10.10.0.0 il gateway è 10.20.0.251

Altre info:
all' interno dell' asa sia lan1 che lan2 hanno valore (100) , è abilitata l'opzione che due rete con stesso valore posso parlare

Perché devo inserire la route statica che prima non dovevo inserire ???

Grazie a tutti

P.s Se servono altre info chiedete pure

Re: ASA 5515 - Errore configurazione

Inviato: lun 18 ago , 2014 8:32 am
da paolomat75
Ciao, preciso che non sono bravo con gli ASA, ma da come descrivi il problema sembrerebbe il server configurato male (visto che il gateway che metti è quello di default).
Prova a sniffare il traffico.

Paolo

Re: ASA 5515 - Errore configurazione

Inviato: mar 19 ago , 2014 7:54 am
da AlessandroG
Aggiungo un'informazione che mi sono dimenticato, il server ha due schede come detto in precedenza

scheda rete lan1 10.10.0.100
scheda rete dmz 172.16.0.0

il gw del server è 172.16.0.254 (gw della DMZ)


Ciao Alessandro

Re: ASA 5515 - Errore configurazione

Inviato: mar 19 ago , 2014 8:49 am
da paolomat75
AlessandroG ha scritto:Aggiungo un'informazione che mi sono dimenticato, il server ha due schede come detto in precedenza

scheda rete lan1 10.10.0.100
scheda rete dmz 172.16.0.0

il gw del server è 172.16.0.254 (gw della DMZ)


Ciao Alessandro
Allora è giusto che non vada se non aggiungi una statica, il level DMZ è sicuramente più basso di quello lan2, perciò il traffico è bloccato. Se proprio devi far parlare le due reti o lasci la route statica, visto che hai le 2 schede, oppure bisogna fare un'eccezione nel ASA (nel caso vuoi solo accedere ad alcuni servizi della lan1).

Paolo

Re: ASA 5515 - Errore configurazione

Inviato: mar 19 ago , 2014 9:34 am
da AlessandroG
Ciao Paolo , prima di tutto grazia per il tuo aiuto ma c'è qualcosa che non riesco a capire
Allora è giusto che non vada se non aggiungi una statica, il level DMZ è sicuramente più basso di quello lan2, perciò il traffico è bloccato. Se proprio devi far parlare le due reti o lasci la route statica, visto che hai le 2 schede, oppure bisogna fare un'eccezione nel ASA (nel caso vuoi solo accedere ad alcuni servizi della lan1).
sono pienamente d'accordo con quello che hai scritto però per la mia ignoranza non mi torna un cosa , vediamo se riesci ad aiutarmi.

Configurazione ASA

1° lan1 10.10.0.0 /24 gw 10.10.0.251 100
2° lan2 10.20.0.0/24 gw 10.20.0.251 100
3° dmz 172.16.0.0/24 gw 172.16.0.251 50


Configurazione Server
lan1 10.10.0.100
dms 172.16.0.100 gw 172.16.0.251


Se da un cliente esempio 10.10.0.1 chiamo il server 10.10.0.100 , riesco a raggiungerlo perché in poche parole tutto il mio traffico viene effettuato sulla LAN1 . Quindi la DMZ in questo momento non entra in gioco (almeno credo) e quindi non ho bisogno di regole di route o di altro

Se da un cliente esempio 10.20.0.1 chiamo il server 10.10.0.100 , non riesco a raggiungere il server . In questa situazione le uniche lan che entrano in gioco sono la LAN1 e LAN2 che hanno lo stesso valore 100 e SEMPRE per la mia ignoranza anche in questo caso non entra in gioco la DMZ e aggiungo che a livello di ASA ci sono le regole di route per passare da LAN1 a LAN2


Dove sbaglio ??????


Grazie ancora Alessandro

Re: ASA 5515 - Errore configurazione

Inviato: mar 19 ago , 2014 10:40 am
da paolomat75
AlessandroG ha scritto:
Se da un cliente esempio 10.20.0.1 chiamo il server 10.10.0.100 , non riesco a raggiungere il server . In questa situazione le uniche lan che entrano in gioco sono la LAN1 e LAN2 che hanno lo stesso valore 100 e SEMPRE per la mia ignoranza anche in questo caso non entra in gioco la DMZ e aggiungo che a livello di ASA ci sono le regole di route per passare da LAN1 a LAN2

Dove sbaglio ??????

Grazie ancora Alessandro
Se dal 10.20.0.1 chiami il 10.10.0.100 entra in gioco la DMZ perché il server ha come gateway il 172.16.0.251 50, e visto che la rete 10.20.1.x non è presente nella tabella di routing (a parte quando metti la statica), il server manda sul gateway.
In quel caso l'ASA blocca il transito perché il traffico è da livello più basso ad alto (a parte autorizzare quel tipo di traffico).

Spero di averti chiarito le idee

Paolo

Re: ASA 5515 - Errore configurazione

Inviato: gio 28 ago , 2014 9:53 am
da paolomat75
Hai risolto?

Paolo