Asa 5510 ed inter-vlan routing.

Mettete al sicuro la vostra rete!

Moderators: Federico.Lagni, TheIrish, Wizard, andrewp

Asa 5510 ed inter-vlan routing.

Postby RJ45 » Wed 12 Nov , 2008 7:03 am

Ciao,

domanda stupida, forse, ma mi è necessario un chiarimento.

Scenario: Asa 5510, rete pubblica su outside, 3 vlan lato inside, tutte nattate con PAT con l'ip pubblico della outside. Qualche statica verso i server, una vpn client-to-site, ma niente di più. L'apparato è funzionante.

Ora dovrei permettere il routing tra alcuni host di 2 delle 3 vlan. Oltre all'acl di permit (necessaria poichè ho la security impostata differentemente tra le 3 vlan) devo anche bloccare il nat? In altre parole, nel nat0 già presente per la vpn devo aggiungere il permit tra le vlan necessarie? Perchè al momento non riesco ad accedere da una all'altra.

Grazie.
User avatar
RJ45
Network Emperor
 
Posts: 456
Joined: Wed 07 Jun , 2006 6:40 am
Location: Udine (UD)

Postby Wizard » Wed 12 Nov , 2008 11:14 am

X fortuna dalle ultime versioni di software il same-routing-interface è possibile anche sui firewall di mamma Cisco...

Dai questo comando:

Code: Select all
same-security-traffic permit intra-interface


Poi crea le regole di nat0 tra le 2 o più network
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby RJ45 » Wed 12 Nov , 2008 12:37 pm

Grazie per la risposta!

Ho inserito il comando che mi hai scritto e creato il nat0 tre le due reti, ma ancora nulla... cosa ho dimenticato?

A proposito, la versione on board è la 7.0(7).

Ciao.
User avatar
RJ45
Network Emperor
 
Posts: 456
Joined: Wed 07 Jun , 2006 6:40 am
Location: Udine (UD)

Postby Wizard » Wed 12 Nov , 2008 12:39 pm

Serve:

- comando scritto prima
- rotta
- nat0

Fa vedere come hai configurato il punto 2 e 3

Cmq, la ios è vecchia e bacata, aggiorna alla 8.0.4
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby RJ45 » Wed 12 Nov , 2008 12:53 pm

Eccomi,

per le rotte non ho fatto nulla... sono direttamente connesse, o sbaglio?
Aggiornerò l'IOS.

Di seguito trovi la configurazione:

Code: Select all
: Saved
:
ASA Version 7.0(7)
!
hostname <omissis>
domain-name <omissis>
enable password <omissis>
names
dns-guard
!
interface Ethernet0/0
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/0.60
 vlan 60
 nameif lan0
 security-level 80
 ip address 192.168.0.254 255.255.255.0
!
interface Ethernet0/0.80
 vlan 80
 nameif lan1
 security-level 80
 ip address 192.168.1.254 255.255.255.0
!
interface Ethernet0/0.100
 vlan 100
 nameif video
 security-level 100
 ip address 10.0.0.254 255.0.0.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address <omissis> 255.255.255.248
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 nameif management
 security-level 100
 ip address 172.16.1.1 255.255.255.0
 management-only
!
passwd <omissis>
ftp mode passive
same-security-traffic permit intra-interface
access-list outside_access_in extended permit tcp any host <omissis> eq www
access-list outside_access_in extended permit tcp any host <omissis> eq https
access-list outside_access_in extended permit tcp any host <omissis> eq smtp
access-list outside_access_in extended permit tcp host <omissis> host <omissis> eq 3389
access-list <omissis>_splitTunnelAcl standard permit 10.0.0.0 255.0.0.0
access-list <omissis>_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0
access-list video_nat0_outbound extended permit ip 10.0.0.0 255.0.0.0 192.168.5.0 255.255.255.248
access-list lan0_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.5.0 255.255.255.248
access-list lan0_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list lan1_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0
pager lines 24
logging asdm informational
mtu lan0 1500
mtu lan1 1500
mtu video 1500
mtu outside 1500
mtu management 1500
ip local pool vpn_pool 192.168.5.1-192.168.5.5 mask 255.255.255.0
asdm image disk0:/asdm-507.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (lan0) 0 access-list lan0_nat0_outbound
nat (lan0) 1 192.168.0.0 255.255.255.0
nat (lan1) 0 access-list lan1_nat0_outbound
nat (lan1) 1 192.168.1.0 255.255.255.0
nat (video) 0 access-list video_nat0_outbound
nat (video) 1 10.0.0.0 255.0.0.0
static (lan1,outside) <omissis> 192.168.1.1 netmask 255.255.255.255
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 <omissis> 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy <omissis> internal
group-policy <omissis> attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value <omissis>_splitTunnelAcl
 webvpn
group-policy <omissis> internal
group-policy <omissis> attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value <omissis>_splitTunnelAcl
 webvpn
username <omissis> password <omissis> encrypted privilege 0
username <omissis> attributes
 vpn-group-policy <omissis>
 webvpn
username <omissis> password <omissis> encrypted privilege 15
http server enable
http <omissis> 255.255.255.255 outside
http 192.168.1.0 255.255.255.0 management
http 172.16.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp nat-traversal  20
tunnel-group <omissis> type ipsec-ra
tunnel-group <omissis> general-attributes
 address-pool vpn_pool
 default-group-policy <omissis>
tunnel-group <omissis> ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect sqlnet
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect http
  inspect icmp error
  inspect icmp
  inspect pptp
!
service-policy global_policy global
ntp server 193.204.114.232 source outside prefer
Cryptochecksum:27219f6a0ea0c644a8ef99e51af4618d
: end
User avatar
RJ45
Network Emperor
 
Posts: 456
Joined: Wed 07 Jun , 2006 6:40 am
Location: Udine (UD)

Postby Wizard » Wed 12 Nov , 2008 2:15 pm

Code: Select all
same-security-traffic permit inter-interface
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby RJ45 » Wed 12 Nov , 2008 3:00 pm

GRANDE! :wink:

Con questa versione del comando funziona tutto. Quella di prima era forse per reti connesse ad interfaccie diverse?
Comunque aggiornerò l'IOS al più presto... grazie del tuo concreto aiuto.

Andrea.
User avatar
RJ45
Network Emperor
 
Posts: 456
Joined: Wed 07 Jun , 2006 6:40 am
Location: Udine (UD)

Postby Wizard » Wed 12 Nov , 2008 3:06 pm

Spiego meglio x tutti dato che ho messo il topic in evidenza:

same-security-traffic permit inter-interface

Abilita la comunicazione tra 2 interfaccie aventi lo stesso security level

same-security-traffic permit intra-interface

Abilita le connessioni per il same-interface-routing
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby luca.prina » Fri 06 Feb , 2009 9:38 am

Ciao a tutti.
Vi chiedo cortesemente un chiarimento in merito al

Code: Select all
same-security-traffic permit intra-interface


ho un asa8 dove ho configurato una banalissima rotta statica

Code: Select all
route inside 192.168.101.0 255.255.255.0 192.168.100.122

dove ovviamente il 192.168.100.122 appartiene alla stessa sottorete dell'inside dell ASA.
Dai client però non c'è verso di raggiungere la sottorete 192.168.101.0.
La cosa che non comprendo è se devo creare delle regole di nat0 (cmq ci ho provato ma senza successo) opprure no (ho trovato un articolo cisco in argomento ma non ne parla).
C'è qualcuno che gentilmente potrebbe postare o suggerirmi un esempio funzionante in modo da prendere spunto?
Grazie mille come sempre, saluti
Luca
luca.prina
Cisco enlightened user
 
Posts: 125
Joined: Sun 09 Sep , 2007 8:30 pm

Postby Wizard » Mon 09 Feb , 2009 2:26 pm

Il nat0 configuralo ma devi configurare anche la acl sulla inside
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby luca.prina » Mon 09 Feb , 2009 8:42 pm

Ciao,
innanzitutto grazie Wizard per l'aiuto!
Quindi ricapitolando devo configurare:
* Nat0 dalla inside alla rete "remota"
* ACL dalla inside alla rete "remota"

ma a questo punto mi sorge un ultimo dubbio.. devo configurare anche le ACL per il traffico di ritorno ?
(forse è una domanda sciocca ma... non mi è chiaro il perchè sia necessario inserire delle ACL su traffico appartenente allo stesso livello di sicurezza)

Grazie ancora e un saluto a tutti
Luca
luca.prina
Cisco enlightened user
 
Posts: 125
Joined: Sun 09 Sep , 2007 8:30 pm

Postby Wizard » Mon 09 Feb , 2009 11:24 pm

ma a questo punto mi sorge un ultimo dubbio.. devo configurare anche le ACL per il traffico di ritorno ?


No no su fw Cisco le acl sn statefoul (il traffico di ritorno è automaticamente permesso)
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby Wizard » Mon 09 Feb , 2009 11:27 pm

Mi invento un esempio:

rete inside: 192.168.1.0/24
rete remota: 192.168.2.0/24
router x rete remota: 192.168.1.100

Code: Select all
same-security-traffic permit intra-interface

route inside 192.168.2.0 255.255.255.0 192.168.1.100

access-l inside-in permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

access-l nat0-inside permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

nat (inside) 0 access-l nat0-inside


Chiaramente la acl inside-in è associata alla int inside e ci sn altre acl in quel grupppo
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby luca.prina » Tue 10 Feb , 2009 9:47 pm

Ciao...
Grazie Wizard per l'esempio... ottimo!! :wink:
Appena posso vado dal cliente e provo ... vi faccio sapere!

Grazie ancora, un saluto a tutti
Luca
luca.prina
Cisco enlightened user
 
Posts: 125
Joined: Sun 09 Sep , 2007 8:30 pm


Return to Sicurezza

Who is online

Users browsing this forum: No registered users and 1 guest