utilizzare Vpn dietro ad un Router cisco soho

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Ciao,
volevo porvi questo quesito:
Ho un Asa 5505 installato a valle di un router cisco serie Soho.
MI HANNO CHIESTO DI CREARE UNA VPN PER IL COLLEGAMENTO DALL'ESTERNO.
Ho creato correttamente la Vpn su Ipsec e lavora senza problemi dalla lan che e' tra Router e Firewall con il Vpn Client della cisco.
Il problema e' collegarsi da remoto.
Ho letto che basterebbe Nattare le porte 4500 e 550 udp, ma evidentemente non basta.
Successivamente ho letto che ci vorrebbe il Nat Travesal di queste due porte, o il trasparent mode per il router ....
ma per entrambe le configurazioni sul router non ho trovato nulla, mi sapreste consiglire in merito?

lan interna 192.168.1.xx <-->firewall 192.168.1.3<|Asa|>firewall 192.168.100.3<-->192.168.100.1 eth0 router<@>routerdsl rj11 internet (ip pubblico)
Ciao e Grazie anticipate
Top
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Emiliano ha scritto:Fai in NAT statico 1:1 dell'interfaccia dialer0 (immagino tu abbia una INT dialer sul tuo sono) verso l' interfaccia wan del tuo asa. Secondo il tuo esempio potrebbe essere cosí

Codice: Seleziona tutto

ROUTER-SOHO#
Conf t
ip NAT inside source static 192.168.100.3 int dialer0
In questo modo istruisci il router per fare il forward di tutte le richieste che arrivano sull'interfaccia dialer verso l'interfaccia wan del tuo asa.
Prova e vedi se funziona.
Emiliano
Ottimo tutto Ok!!!
se puoi ... ma il nat trvesal non lo fa?
Ciao e grazie mILLE
Top
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Emiliano ha scritto:Potresti, ma tra un asa e un SOHO credo sia piú indicato far gestire all'asa connessioni esterne e sicurezza, utilizzando di fatto il SOHO unicamente come un modem.
Fare in modo che tutte le richieste fatte al tuo ip pubblico arrivino all'asa credo sia più sicuro che farle gestire ad un SOHO, che se non ricordo male non ha funzionalità di firewall.
Buona serata ;)
Si ok, ha un firewall, ma assolutamente disabilitato mi combina solo pasticci.

Scusami, ma ho un altro problema, su un Asa 5505 devo aprire una posta, ma non riesco a vederla in funzione, nonostante abbia utilizzato lo stesso procedimento che ho utilizzato sull'altro asa, che come ti ho detto con la tua conf sul router ho risolto.

In questo caso il routerdi gestione dell'ISP, ha indirizzo pubblico sia in wan che sulla lan verso l'Asa 5505.
Adesso, appunto dovrebbe essere piu' semplice, in quanto ho indirizzo pubblico sulla wan dell'Asa, ma purtroppo anche se tutto funziona(tranne il Port forwarding) non lo pingo questo indirizzo pubblico e il nat sulle porte non mi funziona ... dove sbagliero?
hai qualche idea?
Ti ringrazio anticipatamente.
Top
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Emiliano ha scritto:Prova a postare la configurazione, così alla cieca è difficile...
Ringraziandoti ancora ... ti posto la running:

Cryptochecksum: 17f4e508 890cef9b 5bad43b3 c9b6804e
: Saved
: Written by enable_15 at 01:06:50.890 UTC Wed Sep 19 2012
!
ASA Version 8.2(5)
!
hostname FireRaffael
enable password eQw6fcHYCzjJ9skC encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 12
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 10.0.0.99 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 79.34.133.146 255.255.255.248
!
interface Vlan12
nameif BackUp
security-level 0
ip address 89.107.95.154 255.255.255.0
!
ftp mode passive
access-list acl_impl extended permit icmp any any
access-list OUTSIDE_INPUT extended permit icmp any any
access-list OUTSIDE_INPUT extended permit tcp any interface outside eq https
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1492
mtu BackUp 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (BackUp) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface https 10.0.0.246 https netmask 255.255.255.255
access-group OUTSIDE_INPUT in interface outside
access-group acl_impl in interface BackUp
route outside 0.0.0.0 0.0.0.0 79.34.133.145 128 track 1
route BackUp 0.0.0.0 0.0.0.0 89.107.95.153 254
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 10.0.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
sla monitor 123
type echo protocol ipIcmpEcho 8.8.8.8 interface outside
sla monitor schedule 123 life forever start-time now
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
!
track 1 rtr 123 reachability
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!

threat-detection basic-threat
threat-detection scanning-threat shun
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
webvpn
anyconnect-essentials
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:17f4e508890cef9b5bad43b3c9b6804e
: end

qui la situazione e' la seguente, come vedi c'e' una Backup ed una Outside che sono le due wan che mi collegano ad Internet.

static (inside,outside) tcp interface https 10.0.0.246 https netmask 255.255.255.255
io come vedi cerco di aprire la porta 443(https) ma stranamente non lo pingo dall esterno(come vedi ho ip pubblico sulla Outside: ip address 79.34.133.146 255.255.255.248 )
e la porta non mi si apre.
Ti ringrazio anticipatamente
Top
Rispondi

Torna a “Configurazioni”