Buongiorno,
ho un configurato un asa 5510 8.3(2) con inizialmente 3 interfacce:
inside security-level 100
outside security-level 0
dmz security-level 50
poi ho configurato un' intefaccia
ospiti security-level 40
Dall'interfaccia ospiti devo accedere in http ad un server che sta in inside,
ho messo le acl opportune, sia sull'interfaccia ospiti che inside, ma da ospiti
non riesco ad aprire delle connessioni sul server in inside.
Ho messo le acl in ip e da ospiti riesco a pingare il server ma non riesco ad aprire una connessione http.
Se faccio una prova con il tool tacket tracer dell'asa con i il protocollo http l'esito
è positivo.
La cosa strana è che operazioni di questo tipo le faccio, e vanno fra dmz ed inside ...
A livello di licenza dovrei essere a posto:
Device license Base
Inside host unlimited
Maximum phyisical interface unlimited
vlans 50
Grazie
connessioni fra interfacce asa
Moderatore: Federico.Lagni
-
scolpi
- Network Emperor
- Messaggi: 337
- Iscritto il: sab 30 ott , 2010 5:33 pm
se il traffico http deve solo andare da ospiti a inside, basta solo un acl in input sulla ospiti.
da inside a ospiti passa tutto senza fare nulla, visto che il livello di security sulla inside è 10 e sulla ospiti 40, a meno che non ci sia già un acl
Se nei log dell'acl sull'interfaccia ospiti vedi i match la config è corretta e a questo punto mi viene da chiedermi se il servizio http è attivo sul serve.
da inside a ospiti passa tutto senza fare nulla, visto che il livello di security sulla inside è 10 e sulla ospiti 40, a meno che non ci sia già un acl
Se nei log dell'acl sull'interfaccia ospiti vedi i match la config è corretta e a questo punto mi viene da chiedermi se il servizio http è attivo sul serve.
CCNA Security,CCDP, CCNP R&S
-
sstanzani
- n00b
- Messaggi: 3
- Iscritto il: mer 29 gen , 2014 12:08 pm
Ciao,
l'acl l'ho messa, inizialmente era solo per http adesso è per tutto ip ed infatti il ping passa.
Il server http sono sicuro che è su, il server in questione è un'owa, il problema è che
l'asa mi blocca le connessioni fra le due interfacce ...
Ciao
Allego il file (che è un .pcap) che ho generato monitorando (su ospiti) la connessione su 443 di un client su ospiti verso il il server in inside. 192.168.50.45 --> 10.4.1.68
l'acl l'ho messa, inizialmente era solo per http adesso è per tutto ip ed infatti il ping passa.
Il server http sono sicuro che è su, il server in questione è un'owa, il problema è che
l'asa mi blocca le connessioni fra le due interfacce ...
Ciao
Allego il file (che è un .pcap) che ho generato monitorando (su ospiti) la connessione su 443 di un client su ospiti verso il il server in inside. 192.168.50.45 --> 10.4.1.68
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
-
sstanzani
- n00b
- Messaggi: 3
- Iscritto il: mer 29 gen , 2014 12:08 pm
Risolto,
ho dovuto mettere una service policy sull'interfaccia ospiti, dalla quale provenivano i reset.
state-bypass-pmap la ritettiva che ho applicato.
Continuo a non spiegarmi perchè sull'interfaccia dmz non ho bisogno di questa policy.
ho dovuto mettere una service policy sull'interfaccia ospiti, dalla quale provenivano i reset.
state-bypass-pmap la ritettiva che ho applicato.
Continuo a non spiegarmi perchè sull'interfaccia dmz non ho bisogno di questa policy.
